OpenSSL-Schlüssel in Debian sind unsicher

Update schließt Sicherheitslücke. Das Sicherheits-Team der Linux-Distribution Debian hat einen Fehler im OpenSSL-Zufallsgenerator gefunden, durch den Schlüssel herausgefunden werden könnten. Die Sicherheitslücke betrifft nur das OpenSSL-Paket in Debian GNU/Linux. Das betroffene Paket wurde bereits aktualisiert.

13. Mai 2008 um 17:59 Uhr / Julius Stiebert

42 Kommentare News folgen (öffnet im neuen Fenster)

Die von OpenSSL in Debian erzeugten Keys sind vorhersehbar, geht aus der Sicherheitsmeldung(öffnet im neuen Fenster) des Projektes hervor. Die erste betroffene Version war 0.9.8c-1, die am 17. September 2006 in den Unstable-Zweig der Distribution gelangte und von dort auch in die mittlerweile stabile Version 4.0 alias "Etch". Debian Sarge hingegen ist ebenso wenig betroffen, wie die Pakete anderer Linux-Distributionen.

Durch den Fehler sind alle SSH-, OpenVPN- und DNSSEC-Schlüssel betroffen und auch Schlüssel für SSL/TLS-Sitzungen sowie X.509-Zertifikate können betroffen sein und sich somit einfach herausfinden lassen. Mit GnuPG und GnuTLS erzeugte Schlüssel hingegen sollen nicht verwundbar sein.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Referatsleitung IT-Grundsatz und Compliance (m/w/d) VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe (öffnet im neuen Fenster)

Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) Verzeichnisdienst (Betrieb & Weiterentwicklung) ivv GmbH, Hannover (öffnet im neuen Fenster)

SAP-Berater (m/w/d) Berechtigungsmanagement ivv GmbH, Hannover (öffnet im neuen Fenster)

Fachverfahrenskoordinator/-in (m/w/d) Landeshauptstadt Potsdam, Potsdam (öffnet im neuen Fenster)

ERP Softwareentwickler m/w/d Krannich Group GmbH, Weil der Stadt (öffnet im neuen Fenster)

(Senior) Professional Cyber Security Engineer (w/m/d) - Backup & Archiving Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

Auszubildende zum Industriekaufmann (m/w/d) DMK Deutsches Milchkontor GmbH, Bremen (öffnet im neuen Fenster)

In Debian Etch steht nun das OpenSSL-Paket in der Version 0.9.8c-4etch3 bereit, das das Problem behebt. Für Testing und Unstable ist der Fehler in der Version 0.9.8g-9 behoben. Die Entwickler empfehlen dringend ein Update und sämtliche mit OpenSSL erzeugten Schlüssel neu zu generieren. Als Konsequenz haben sie auch die Public-Key-Authentifizierung auf ihren eigenen Servern deaktiviert. Zudem gibt es einen Detector(öffnet im neuen Fenster) ( OpenPGP-Signatur(öffnet im neuen Fenster) ) als Download.

Das auf Debian basierende Ubuntu ist ebenfalls seit der Version 7.04 betroffen. Hier gibt es je eine Sicherheitsmeldung für OpenSSH(öffnet im neuen Fenster) und eine für OpenSSL(öffnet im neuen Fenster) .

Zur Startseite 42 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Sicherheitslücke in OpenSSL

Neue Versionen von OpenSSL beheben das Problem. Bei der Überprüfung von OpenSSL hat die OpenSSL-Group eine kritische Sicherheitslücke in ihrer Software entdeckt. Mit einem entsprechend präparierten SSL/TLS-Handshake gegen einen Server, der die OpenSSL-Bibliothek nutzt, lässt sich dieser dadurch zum Absturz bringen. Je nach der verwendeten Applikation könnte dies Denial-of-Service-Angriffe erlauben.

Relevante Themen