Golem.de
 
Suchen bei Golem.de
Golem.de Newsletter-Abo
Videos bei Golem.de
Ibn Sina, der erste arabisch sprechende Roboter Ibn Sina, der erste arabisch sprechende Roboter
Detailsuche
Verwandte Themen

Security, OSS, Desktop-Applikationen, Debian, OpenSSL

Verwandte Artikel
Letzte Meldungen

Sony hofft auf das große Geld mit 3D

Weg frei für 4-GByte-Module: Hynix mit 40nm-DRAMs

XMLHttpRequest auf dem Weg zum Webstandard

Verleiher: Nicht alle Filme auf Blu-ray bieten mehr Qualität

Neues Verfahren für Herstellung von OLEDs

Fedora setzt Rechte bei Software-Installation zurück

Star Trek Online: Kurs auf offene Beta im Januar 2010

Canonical arbeitet für Google an Chrome OS

IMHO: Grafikmarkt goes Gaga

Spieletest: Left 4 Dead 2 - untotes Multiplayergemetzel

RFID-Chips machen Metallteile schlau

GPL-Programm Fpflac nutzt mehrere Prozessoren

CHKDSK-Bug nervt Nutzer von Windows 7 (Update)

AOL kündigt 2.500 Mitarbeitern und verkauft MapQuest und ICQ

Xbox 360 mit mehr Beigaben

WebSDK von Sony Ericsson

Wired kommt auf E-Book-Reader

AMD: Nur einige tausend Radeon 5800 pro Woche

Kreditkartenumtausch: Banken fordern Entschädigung

Links ohne Referrer

Call of Duty 6: Wirbel um gesperrte Accounts auf Steam

HDMI bekommt aussagekräftige Logos

Mozilla steigert Umsatz und Kosten

Dell sieht Belebung bei PC-Nachfrage von Firmenkunden

Regierung startet Offensive Elektroauto

PHP 5.3.1 beseitigt zahlreiche Fehler

Dell mit Tintenstrahl-Multifunktionssystemen in Serie

Youtube untertitelt Videos per Spracherkennung automatisch

LED-Multifunktionsdrucker von Oki

Funktioniert trotzdem: Fernbedienung ohne Batterie

Weitere News


Haben wir etwas übersehen? Dann Mail an news@golem.de.

HOME


Software / 13.05.2008 / 17:59 Trackback     Versenden     Druck 

OpenSSL-Schlüssel in Debian sind unsicher

Update schließt Sicherheitslücke

Das Sicherheits-Team der Linux-Distribution Debian hat einen Fehler im OpenSSL-Zufallsgenerator gefunden, durch den Schlüssel herausgefunden werden könnten. Die Sicherheitslücke betrifft nur das OpenSSL-Paket in Debian GNU/Linux. Das betroffene Paket wurde bereits aktualisiert.

Die von OpenSSL in Debian erzeugten Keys sind vorhersehbar, geht aus der Sicherheitsmeldung des Projektes hervor. Die erste betroffene Version war 0.9.8c-1, die am 17. September 2006 in den Unstable-Zweig der Distribution gelangte und von dort auch in die mittlerweile stabile Version 4.0 alias "Etch". Debian Sarge hingegen ist ebenso wenig betroffen, wie die Pakete anderer Linux-Distributionen.

Durch den Fehler sind alle SSH-, OpenVPN- und DNSSEC-Schlüssel betroffen und auch Schlüssel für SSL/TLS-Sitzungen sowie X.509-Zertifikate können betroffen sein und sich somit einfach herausfinden lassen. Mit GnuPG und GnuTLS erzeugte Schlüssel hingegen sollen nicht verwundbar sein.

In Debian Etch steht nun das OpenSSL-Paket in der Version 0.9.8c-4etch3 bereit, das das Problem behebt. Für Testing und Unstable ist der Fehler in der Version 0.9.8g-9 behoben. Die Entwickler empfehlen dringend ein Update und sämtliche mit OpenSSL erzeugten Schlüssel neu zu generieren. Als Konsequenz haben sie auch die Public-Key-Authentifizierung auf ihren eigenen Servern deaktiviert. Zudem gibt es einen Detector (OpenPGP-Signatur) als Download.

Das auf Debian basierende Ubuntu ist ebenfalls seit der Version 7.04 betroffen. Hier gibt es je eine Sicherheitsmeldung für OpenSSH und eine für OpenSSL. (js)
Kommentar-Übersicht / Kommentieren:
Re: 4096 und 8192 auch betroffen? (dgxxer, 27.05.08 10:05)
Re: ~/.ssh/authorized_keys (john.doe, 16.05.08 19:22)
Re: Wie es zu dem Bug kam (john.doe, 16.05.08 19:10)
Re: Wie es zu dem Bug kam (robinx, 16.05.08 19:00)
Re: Wie es zu dem Bug kam (horst_, 16.05.08 18:45)
Trackback:

Über die (Un-)Sicherheit von SSL und HTTPS (Jan Schejbal, 19.01.09 00:12)

Servercrash - Wenn dann kommts dick! (Anwälte in Vulkane werfen, 29.05.08 23:18)

OpenSSL-Schlüssel in Debian sind unsicher (my.security-gui.de, 14.05.08 06:39)

Richtig böses Sicherheitsproblem bei Debian (Quark-mit-Sauce, 14.05.08 00:53)

Debian OpenSSL Schwachstelle - Nicht die SSH-Keys vergessen (EDV - Ende der Vernunft, 13.05.08 19:50)

Links zum Artikel
Bookmarks:
Artikel bei Mister Wong ablegen Artikel bei Yigg ablegen Artikel bei Linkarena ablegen Artikel bei Google ablegen Artikel bei del.icio.us ablegen Artikel bei Webnews ablegen
Aktuelle Artikel

Sony hofft auf das große Geld mit 3D
3D als Erfolgsrezept? Sony-Chef Howard Stringer geht zumindest mutig davon aus - der Konzern wittert ein Milliarden-Geschäft mit stereoskopischen Filmen, Spielen und der nötigen Hardware.

Weg frei für 4-GByte-Module: Hynix mit 40nm-DRAMs
Mit Hynix nimmt nun nach Samsung und Elpida der dritte DRAM-Hersteller die Serienproduktion von Bausteinen mit 40 Nanometern Strukturbreite auf. Das lässt für 2010 auf bezahlbare Module mit 4 GByte Kapazität hoffen.

XMLHttpRequest auf dem Weg zum Webstandard
Die Arbeitsgruppe Web-Applications des W3C hat einen sogenannten Last Call Working Draft für XMLHttpRequest veröffentlicht. Das XMLHttpRequest-Objekt stellt die Basis moderner Web-Applikationen und von Ajax dar.

 

 

Audio/Video | Desktop-Applikationen | Foto | Games | Handy | Internet | Mobil | OSS | PC-Hardware | Politik/Recht | Security | Software-Entwicklung | Wirtschaft | Wissenschaft

Ticker | RSS | API | Forum | Zusatz-Dienste | Jobs | IT-Events

Home | Impressum | Werbung | Freunde

Copyright © 1997 - 2009 Golem.de. Alle Rechte vorbehalten.

 

Zum Artikel Text einblenden Text ausblenden