Kritische OpenSSL-Sicherheitslücke bei Debian und Ubuntu

Bei Debian und Ubuntu hat die OpenSSL-Bibliothek seit einem fehlerhaften Patch im Jahr 2006 vorhersagbare Zufallszahlen erzeugt. Einzelheiten dazu findet man in dem Debian Security Advisory DSA-1571-1. Diese kritische Sicherheitslücke führte zu schwachen Krypto-Schlüsseln und ermöglicht Angreifern unter Umständen SSL-Verbindungen abzuhören oder sich unautorisierten Zugriff auf SSH-Server zu verschaffen. Die Sicherheitslücke ist insbesondere deshalb so kritisch, weil so viele Anwendungen OpenSSL verwenden.
Auf einer extra angelegten Webseite beschreiben die Entwickler die notwendigen Schritte für den Schlüsselaustausch. Bis jetzt sind dort aber nur Informationen für OpenSSH und OpenSWAN / StrongSWAN zu finden. Zudem gibt es ein Perl-Skript, das SSH-Server sowie SSH- und OpenVPN-Schlüsseldateien auf die Schwäche testen kann. Sehr hilfreich kann auch das Debian-Wiki sein, weil man dort eine Liste der üblichen SSLkeys findet.
Besonders ärgerlich kann es sein, wenn man mit einem schwachen SSL-Key ein SSL-Zertifikat für seinen Webserver gekauft hat. In diesem Fall muss man eventuell ein neues kaufen.

Eine Antwort auf „Kritische OpenSSL-Sicherheitslücke bei Debian und Ubuntu“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.