Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 3,00 € pro Monat

OpenSSL-Schlüssel in Debian sind unsicher

Update schließt Sicherheitslücke

Das Sicherheits-Team der Linux-Distribution Debian hat einen Fehler im OpenSSL-Zufallsgenerator gefunden, durch den Schlüssel herausgefunden werden könnten. Die Sicherheitslücke betrifft nur das OpenSSL-Paket in Debian GNU/Linux. Das betroffene Paket wurde bereits aktualisiert.

Artikel veröffentlicht am 13. Mai 2008, 17:59 Uhr, Julius Stiebert

Die von OpenSSL in Debian erzeugten Keys sind vorhersehbar, geht aus der Sicherheitsmeldung des Projektes hervor. Die erste betroffene Version war 0.9.8c-1, die am 17. September 2006 in den Unstable-Zweig der Distribution gelangte und von dort auch in die mittlerweile stabile Version 4.0 alias "Etch". Debian Sarge hingegen ist ebenso wenig betroffen, wie die Pakete anderer Linux-Distributionen.

Durch den Fehler sind alle SSH-, OpenVPN- und DNSSEC-Schlüssel betroffen und auch Schlüssel für SSL/TLS-Sitzungen sowie X.509-Zertifikate können betroffen sein und sich somit einfach herausfinden lassen. Mit GnuPG und GnuTLS erzeugte Schlüssel hingegen sollen nicht verwundbar sein.

In Debian Etch steht nun das OpenSSL-Paket in der Version 0.9.8c-4etch3 bereit, das das Problem behebt. Für Testing und Unstable ist der Fehler in der Version 0.9.8g-9 behoben. Die Entwickler empfehlen dringend ein Update und sämtliche mit OpenSSL erzeugten Schlüssel neu zu generieren. Als Konsequenz haben sie auch die Public-Key-Authentifizierung auf ihren eigenen Servern deaktiviert. Zudem gibt es einen Detector (OpenPGP-Signatur) als Download.

Das auf Debian basierende Ubuntu ist ebenfalls seit der Version 7.04 betroffen. Hier gibt es je eine Sicherheitsmeldung für OpenSSH und eine für OpenSSL.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de

ohne Werbung
mit ausgeschaltetem Javascript
mit RSS-Volltext-Feed

Themenseiten:

Kommentarübersicht

Re: 4096 und 8192 auch betroffen?

dgxxer 27. Mai 2008

&g &g Unknown (no blacklist information): 1024 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx...

Re: ~/.ssh/authorized_keys

john.doe 16. Mai 2008

Genau genommen sind das keine Zertifikate, sondern öffentliche Schlüssel. Und ja, genau...

Re: Wie es zu dem Bug kam

john.doe 16. Mai 2008

Dieser Punkt wird doch gerade ausführlich in diversen Blogs diskutiert: Wenn man die...

Alte Paßwörter bei neuem Zertifikat sicher?

Gerd Hiegel 15. Mai 2008

Hallo zusammen, mir stellt sich die Frage, ob *alte* Paßwörter, die für einen SSL...

Artikel

Schadstoffnorm 7

Neue Grenzwerte für Abrieb gelten auch für E-Autos

Die neue Euronorm 7 legt nicht nur Grenzwerte für Bremsen- und Reifenabrieb fest, sondern auch Mindestanforderungen für Akkus.
Ramjet

General Electric testet Hyperschalltriebwerk

Das Triebwerk soll Flüge mit Mach 5 ermöglichen.
Elektroautos

Mercedes und Stellantis übernehmen komplette Umweltprämie

Nach dem abrupten Aus der staatlichen Förderung springen erste Hersteller von Elektroautos ein.

Schnäppchen, Rabatte und Top-Angebote

Die besten Deals des Tages

• Daily Deals • Last-Minute-Angebote bei Amazon • Avatar & The Crew Motorfest bis -50% • Xbox Series X 399€ • Cherry MX Board 3.0 S 49,95€ • Crucial MX500 2 TB 110,90€ • AVM FRITZ!Box 7590 AX + FRITZ!DECT 500 219€ [Werbung]

Themen
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
#