Anzeige

OpenSSL-Schlüssel in Debian sind unsicher

Update schließt Sicherheitslücke

Das Sicherheits-Team der Linux-Distribution Debian hat einen Fehler im OpenSSL-Zufallsgenerator gefunden, durch den Schlüssel herausgefunden werden könnten. Die Sicherheitslücke betrifft nur das OpenSSL-Paket in Debian GNU/Linux. Das betroffene Paket wurde bereits aktualisiert.

Anzeige

Die von OpenSSL in Debian erzeugten Keys sind vorhersehbar, geht aus der Sicherheitsmeldung des Projektes hervor. Die erste betroffene Version war 0.9.8c-1, die am 17. September 2006 in den Unstable-Zweig der Distribution gelangte und von dort auch in die mittlerweile stabile Version 4.0 alias "Etch". Debian Sarge hingegen ist ebenso wenig betroffen, wie die Pakete anderer Linux-Distributionen.

Durch den Fehler sind alle SSH-, OpenVPN- und DNSSEC-Schlüssel betroffen und auch Schlüssel für SSL/TLS-Sitzungen sowie X.509-Zertifikate können betroffen sein und sich somit einfach herausfinden lassen. Mit GnuPG und GnuTLS erzeugte Schlüssel hingegen sollen nicht verwundbar sein.

In Debian Etch steht nun das OpenSSL-Paket in der Version 0.9.8c-4etch3 bereit, das das Problem behebt. Für Testing und Unstable ist der Fehler in der Version 0.9.8g-9 behoben. Die Entwickler empfehlen dringend ein Update und sämtliche mit OpenSSL erzeugten Schlüssel neu zu generieren. Als Konsequenz haben sie auch die Public-Key-Authentifizierung auf ihren eigenen Servern deaktiviert. Zudem gibt es einen Detector (OpenPGP-Signatur) als Download.

Das auf Debian basierende Ubuntu ist ebenfalls seit der Version 7.04 betroffen. Hier gibt es je eine Sicherheitsmeldung für OpenSSH und eine für OpenSSL.


eye home zur Startseite
dgxxer 27. Mai 2008

&g &g Unknown (no blacklist information): 1024 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx...

john.doe 16. Mai 2008

Genau genommen sind das keine Zertifikate, sondern öffentliche Schlüssel. Und ja, genau...

john.doe 16. Mai 2008

Dieser Punkt wird doch gerade ausführlich in diversen Blogs diskutiert: Wenn man die...

robinx 16. Mai 2008

klar kann man dem einen vorwurf machen, wenn man sich den text durchließt http://marc...

horst_ 16. Mai 2008

Dass Maintainer an Code rumpatchen ist nichts ungewöhnliches, das gibts bei fast allen...

Kommentieren


Jan Schejbal / 19. Jan 2009

EDV - Ende der Vernunft / 13. Mai 2008

Debian OpenSSL Schwachstelle - Nicht die SSH-Keys vergessen



Anzeige

  1. PHP Entwickler für webbasierte Branchensoftware (m/w)
    OktoPOS Solutions GmbH, Hamburg
  2. Einkäufer IT (m/w) Workplace Services
    über HRM CONSULTING GmbH, Nürnberg
  3. Software-Qualitätsingen- ieur (m/w)
    Cambaum GmbH, Baden-Baden
  4. Software-Entwickler (m/w) Java/C++
    IVU Traffic Technologies AG, Berlin, Aachen

Detailsuche



Anzeige
Spiele-Angebote
  1. JETZT VERFÜGBAR: Overwatch - Origins Edition - [PC]
    59,00€
  2. Fallout 4 - Season Pass
    26,98€ (Bestpreis!)
  3. ANNO 2070 - Königsedition [PC Download]
    15,00€

Weitere Angebote


Folgen Sie uns
       


  1. Die Woche im Video

    Die Schoko-Burger-Woche bei Golem.de - mmhhhh!

  2. Zcryptor

    Neue Ransomware verbreitet sich auch über USB-Sticks

  3. LTE-Nachfolger

    Huawei schließt praktische Tests für Zukunftsmobilfunk ab

  4. Beam

    Neues Modul für Raumstation klemmt

  5. IT-Sicherheit

    SWIFT-Hack vermutlich größer als bislang angenommen

  6. Windows 10

    Microsoft bringt verdoppelten Virenschutz

  7. Audience Network

    Facebook trackt auch Nichtnutzer für Werbezwecke

  8. Statt Fernsehen

    Ministerrat will europaweite 700-MHz-Freigabe für Breitband

  9. Gran Turismo Sport

    Ein Bündnis mit der Realität

  10. Fensens Parksensor

    Einparken mit dem Smartphone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Moto G4 Plus im Hands on: Lenovos sonderbare Entscheidung
Moto G4 Plus im Hands on
Lenovos sonderbare Entscheidung
  1. Lenovo Moto G4 kann doch mit mehr Speicher bestellt werden
  2. Android-Smartphone Lenovos neues Moto G gibt es gleich zweimal
  3. Motorola Aktionspreise für aktuelle Moto-Smartphones

Business-Notebooks im Überblick: Voll ausgestattet, dockingtauglich und trotzdem klein
Business-Notebooks im Überblick
Voll ausgestattet, dockingtauglich und trotzdem klein
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten
  2. Windows 7 und 8.1 Microsoft verlängert den Skylake-Support
  3. Intel Authenticate Fingerabdruck und Bluetooth-Smartphone entsperren PC

Unternehmens-IT: Von Kabelsalat und längst überfälligen Upgrades
Unternehmens-IT
Von Kabelsalat und längst überfälligen Upgrades
  1. Sprachassistent Voßhoff will nicht mit Siri sprechen
  2. LizardFS Software-defined Storage, wie es sein soll
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

  1. Re: Wieso denn so teuer?

    Prinzeumel | 09:47

  2. Re: was ist eigentlich mit

    seizethecheesl | 09:39

  3. Re: MS warnt? Die Unterstützen das doch.

    longthinker | 09:27

  4. Re: Adblocker sind die besseren Antiviren

    medium_quelle | 09:25

  5. Ja und? Es gibt reichlich Straßen wo ein LKW...

    derdiedas | 09:25


  1. 09:01

  2. 17:09

  3. 16:15

  4. 15:51

  5. 15:21

  6. 15:12

  7. 14:28

  8. 14:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel