• IT-Karriere:
  • Services:

OpenSSL-Schlüssel in Debian sind unsicher

Update schließt Sicherheitslücke

Das Sicherheits-Team der Linux-Distribution Debian hat einen Fehler im OpenSSL-Zufallsgenerator gefunden, durch den Schlüssel herausgefunden werden könnten. Die Sicherheitslücke betrifft nur das OpenSSL-Paket in Debian GNU/Linux. Das betroffene Paket wurde bereits aktualisiert.

Artikel veröffentlicht am , Julius Stiebert

Die von OpenSSL in Debian erzeugten Keys sind vorhersehbar, geht aus der Sicherheitsmeldung des Projektes hervor. Die erste betroffene Version war 0.9.8c-1, die am 17. September 2006 in den Unstable-Zweig der Distribution gelangte und von dort auch in die mittlerweile stabile Version 4.0 alias "Etch". Debian Sarge hingegen ist ebenso wenig betroffen, wie die Pakete anderer Linux-Distributionen.

Stellenmarkt
  1. Dataport, Hamburg
  2. ING-DiBa AG, Frankfurt am Main

Durch den Fehler sind alle SSH-, OpenVPN- und DNSSEC-Schlüssel betroffen und auch Schlüssel für SSL/TLS-Sitzungen sowie X.509-Zertifikate können betroffen sein und sich somit einfach herausfinden lassen. Mit GnuPG und GnuTLS erzeugte Schlüssel hingegen sollen nicht verwundbar sein.

In Debian Etch steht nun das OpenSSL-Paket in der Version 0.9.8c-4etch3 bereit, das das Problem behebt. Für Testing und Unstable ist der Fehler in der Version 0.9.8g-9 behoben. Die Entwickler empfehlen dringend ein Update und sämtliche mit OpenSSL erzeugten Schlüssel neu zu generieren. Als Konsequenz haben sie auch die Public-Key-Authentifizierung auf ihren eigenen Servern deaktiviert. Zudem gibt es einen Detector (OpenPGP-Signatur) als Download.

Das auf Debian basierende Ubuntu ist ebenfalls seit der Version 7.04 betroffen. Hier gibt es je eine Sicherheitsmeldung für OpenSSH und eine für OpenSSL.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • ohne Tracking
  • mit ausgeschaltetem Javascript


Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-10%) 17,99€
  3. 4,26€
  4. 65,99€

dgxxer 27. Mai 2008

&g &g Unknown (no blacklist information): 1024 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx...

john.doe 16. Mai 2008

Genau genommen sind das keine Zertifikate, sondern öffentliche Schlüssel. Und ja, genau...

john.doe 16. Mai 2008

Dieser Punkt wird doch gerade ausführlich in diversen Blogs diskutiert: Wenn man die...

Gerd Hiegel 15. Mai 2008

Hallo zusammen, mir stellt sich die Frage, ob *alte* Paßwörter, die für einen SSL...

esr 14. Mai 2008

...ist es noch nicht Freitag.


Folgen Sie uns
       


iPhone 11 Pro Max - Test

Das neue iPhone 11 Pro Max ist das erste iPhone mit einer Dreifachkamera. Dass sich diese lohnt, zeigt unser Test.

iPhone 11 Pro Max - Test Video aufrufen
Frauen in der IT: Ist Logik von Natur aus Männersache?
Frauen in der IT
Ist Logik von Natur aus Männersache?

Wenn es um die Frage geht, warum es immer noch so wenig Frauen in der IT gibt, kommt früher oder später das Argument, dass Frauen nicht eben zur Logik veranlagt seien. Kann die niedrige Zahl von Frauen in dieser Branche tatsächlich mit der Biologie erklärt werden?
Von Valerie Lux

  1. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  2. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen
  3. IT-Freelancer Paradiesische Zustände

Death Stranding im Test: Paketbote trifft Postapokalypse
Death Stranding im Test
Paketbote trifft Postapokalypse

Seltsam, aber super: Der Held in Death Stranding ist ein mit Frachtsendungen überladener Kurier und Weltenretter. Mit ebenso absurden wie erstklassig umgesetzten Ideen hat Hideo Kojima ein tolles Spiel für PS4 und Windows-PC (erst 2020) geschaffen, das viel mehr bietet als Filmspektakel.
Von Peter Steinlechner

  1. PC-Version Death Stranding erscheint gleichzeitig bei Epic und Steam
  2. Kojima Productions Death Stranding erscheint auch für Windows-PC

Fire TV Cube im Praxistest: Das beste Fire TV mit fast perfekter Alexa-Sprachsteuerung
Fire TV Cube im Praxistest
Das beste Fire TV mit fast perfekter Alexa-Sprachsteuerung

Der Fire TV Cube ist mehr als eine Kombination aus Fire TV Stick 4K und Echo Dot. Der Cube macht aus dem Fernseher einen besonders großen Echo Show mit sehr guter Sprachsteuerung und vorzüglicher Steuerung von Fremdgeräten. In einem Punkt patzt Amazon allerdings leider.
Ein Praxistest von Ingo Pakalski

  1. Zum Start von Apple TV+ Apple-TV-App nur für neuere Fire-TV-Geräte
  2. Amazon Youtube-App kommt auf alle Fire-TV-Modelle
  3. Amazon Fire TV hat 34 Millionen aktive Nutzer

    •  /