Zur Zeit wird gefiltert nach: May 20
Filter zurücksetzen

Internet & Web-Technologie/IT-Service
20.05.2008
11:35

Sicherheitslücke in Debian openSSL

In der Linux-Distribution Debian (u. a. auch Grundlage auch für [K,X,Edu]Ubuntu) wurde eine schwerwiegende Sicherheitslücke entdeckt. Eine Zeile auskommentierter Code führt dazu, dass die zufällig generierten Schlüssel nicht mehr ganz so zufällig sind. Entsprechend sind die generierten Schlüssel berechenbar und können bereits von Servern im Internet heruntergeladen werden. Dies ermöglicht Angriffe auf Server und die Kompromittierung dieser Systeme.

Betroffen sind Schlüssel und Zertifikate ab der Version, 0.9.8c-1 von openSSL das seit dem 17.09. 2006 in der "unstable"-Version von Debian Etch eingesetzt wurde.

Hintergrundinformationen bietet auch dieser Artikel zur openSSL-Schwachstelle bei Heise.

Was ist nun zu tun?

Aus Sicherheitsgründen sind alle Schlüssel aus dieser Zeit zu ersetzen. In dem aktualisierten Paket der openSSL-Software sind neben der Fehlerbehebung auch Test-Skripte enthalten, die feststellen können, ob die Schlüssel von der Schwachstelle betroffen sind. Allerdings sind auch diese Skripte noch nicht vor falschen Ergebnissen gefeit.

Ein weiteres Problem ist, dass auch Schlüssel auf anderen Rechnern und Betriebssystem möglicherweise von dieser Schwachstelle betroffen sind. Es ist durchaus möglich, dass Schlüssel auf einem Debian-System erzeugt wurden und diese nun auf Windows-Systemen oder anderen Linux-Distributionen im Einsatz sind.

Daher sollten alle Schlüssel, bei denen die Herkunft nicht vollständig sicher ist, auf diese Schwachstelle hin überprüft werden.

Damit die Schlüssel in Zukunft nicht verwendet werden können, müssen vorhandene Autorisierungsdateien (authorized_keys) ersetzt bzw. neu erstellt werden.

Insgesamt ein ernstzunehmendes Problem, für Fragen stehen wir gerne zur Verfügung!

ilexius GmbH(info@ilexius.de)weiterleitenPermalinkKommentare 0Gravatar: ilexius GmbH
Views: 276