Abo
  • Services:
Anzeige

OpenSSL-Schlüssel in Debian sind unsicher

Update schließt Sicherheitslücke

Das Sicherheits-Team der Linux-Distribution Debian hat einen Fehler im OpenSSL-Zufallsgenerator gefunden, durch den Schlüssel herausgefunden werden könnten. Die Sicherheitslücke betrifft nur das OpenSSL-Paket in Debian GNU/Linux. Das betroffene Paket wurde bereits aktualisiert.

Die von OpenSSL in Debian erzeugten Keys sind vorhersehbar, geht aus der Sicherheitsmeldung des Projektes hervor. Die erste betroffene Version war 0.9.8c-1, die am 17. September 2006 in den Unstable-Zweig der Distribution gelangte und von dort auch in die mittlerweile stabile Version 4.0 alias "Etch". Debian Sarge hingegen ist ebenso wenig betroffen, wie die Pakete anderer Linux-Distributionen.

Anzeige

Durch den Fehler sind alle SSH-, OpenVPN- und DNSSEC-Schlüssel betroffen und auch Schlüssel für SSL/TLS-Sitzungen sowie X.509-Zertifikate können betroffen sein und sich somit einfach herausfinden lassen. Mit GnuPG und GnuTLS erzeugte Schlüssel hingegen sollen nicht verwundbar sein.

In Debian Etch steht nun das OpenSSL-Paket in der Version 0.9.8c-4etch3 bereit, das das Problem behebt. Für Testing und Unstable ist der Fehler in der Version 0.9.8g-9 behoben. Die Entwickler empfehlen dringend ein Update und sämtliche mit OpenSSL erzeugten Schlüssel neu zu generieren. Als Konsequenz haben sie auch die Public-Key-Authentifizierung auf ihren eigenen Servern deaktiviert. Zudem gibt es einen Detector (OpenPGP-Signatur) als Download.

Das auf Debian basierende Ubuntu ist ebenfalls seit der Version 7.04 betroffen. Hier gibt es je eine Sicherheitsmeldung für OpenSSH und eine für OpenSSL.


eye home zur Startseite
dgxxer 27. Mai 2008

&g &g Unknown (no blacklist information): 1024 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx...

john.doe 16. Mai 2008

Genau genommen sind das keine Zertifikate, sondern öffentliche Schlüssel. Und ja, genau...

john.doe 16. Mai 2008

Dieser Punkt wird doch gerade ausführlich in diversen Blogs diskutiert: Wenn man die...

Gerd Hiegel 15. Mai 2008

Hallo zusammen, mir stellt sich die Frage, ob *alte* Paßwörter, die für einen SSL...

esr 14. Mai 2008

...ist es noch nicht Freitag.


Jan Schejbal / 19. Jan 2009

EDV - Ende der Vernunft / 13. Mai 2008

Debian OpenSSL Schwachstelle - Nicht die SSH-Keys vergessen



Anzeige

Stellenmarkt
  1. Polizeiverwaltungsamt (PVA), Dresden
  2. SCHOTT AG, Mitterteich
  3. STEMMER IMAGING GmbH, Puchheim bei München
  4. nobilia-Werke J. Stickling GmbH & Co. KG, Verl


Anzeige
Blu-ray-Angebote
  1. 19,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Die Bestimmung, Life of Pi, House of Wax, Predator, Der Polarexpress, X-Men)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. SMS-Alternative

    Neue Whatsapp-Bedingungen werden Pflicht

  2. Up- und Download

    Breites Bündnis ruft nach flächendeckender Gbit-Versorgung

  3. Kurznachrichtendienst

    Twitter bewertet sich mit 30 Milliarden US-Dollar

  4. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  5. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  6. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  7. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  8. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  9. Die Woche im Video

    Schneewittchen und das iPhone 7

  10. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Berlin-Wahl: Wo sind all die Piraten-Wähler hin?
Berlin-Wahl
Wo sind all die Piraten-Wähler hin?
  1. Störerhaftung Auf Wiedersehen vor dem EuGH
  2. EuGH zu Störerhaftung Bei Verstößen droht Hotspot-Anbietern Nutzerregistrierung
  3. Europäisches Parlament Netzsperren - Waffe gegen Terror oder Zensur?

Forza Horizon 3 im Test: Autoparadies Australien
Forza Horizon 3 im Test
Autoparadies Australien
  1. Forza Motorsport 6 PC-Rennspiel Apex fährt aus der Beta
  2. Microsoft Play Anywhere gilt für alle Spiele der Microsoft Studios

Original und Fork im Vergleichstest: Nextcloud will das bessere Owncloud sein
Original und Fork im Vergleichstest
Nextcloud will das bessere Owncloud sein
  1. Koop mit Canonical und WDLabs Nextcloud Box soll eigenes Hosten ermöglichen
  2. Kollaborationsserver Nextcloud 10 verbessert Server-Administration
  3. Open Source Nextcloud setzt sich mit Enterprise-Support von Owncloud ab

  1. Re: Mein Sennheiser mit Audio Jack/Klinke

    Bautz | 06:56

  2. Re: legaler rücktransport nahezu unmöglich

    TC | 06:52

  3. Re: ist ja fast wie in der Bibel ...

    gadthrawn | 06:36

  4. Re: Tischtennisbälle...

    sre | 06:27

  5. Re: Für einen Dienst der nicht wächst und in den...

    gadthrawn | 06:26


  1. 07:23

  2. 15:10

  3. 13:15

  4. 12:51

  5. 11:50

  6. 11:30

  7. 11:13

  8. 11:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel