Kritische OpenSSL-Sicherheitslücke bei Debian und Ubuntu

Bei Debian und Ubuntu hat die OpenSSL-Bibliothek seit einem fehlerhaften Patch im Jahr 2006 vorhersagbare Zufallszahlen erzeugt. Einzelheiten dazu findet man in dem Debian Security Advisory DSA-1571-1. Diese kritische Sicherheitslücke führte zu schwachen Krypto-Schlüsseln und ermöglicht Angreifern unter Umständen SSL-Verbindungen abzuhören oder sich unautorisierten Zugriff auf SSH-Server zu verschaffen. Die Sicherheitslücke ist insbesondere deshalb so kritisch, weil so viele Anwendungen OpenSSL verwenden.
Auf einer extra angelegten Webseite beschreiben die Entwickler die notwendigen Schritte für den Schlüsselaustausch. Bis jetzt sind dort aber nur Informationen für OpenSSH und OpenSWAN / StrongSWAN zu finden. Zudem gibt es ein Perl-Skript, das SSH-Server sowie SSH- und OpenVPN-Schlüsseldateien auf die Schwäche testen kann. Sehr hilfreich kann auch das Debian-Wiki sein, weil man dort eine Liste der üblichen SSLkeys findet.
Besonders ärgerlich kann es sein, wenn man mit einem schwachen SSL-Key ein SSL-Zertifikat für seinen Webserver gekauft hat. In diesem Fall muss man eventuell ein neues kaufen.


Beitrag veröffentlicht

in

von

Schlagwörter:

Kommentare

Eine Antwort zu „Kritische OpenSSL-Sicherheitslücke bei Debian und Ubuntu“

  1. Avatar von kristian

    Es gibt bei Heise jetzt auch eine Webseite, die unsichere SSL-Zertifikate erkennen kann:

    http://www.heise.de/netze/tools/chksslkey

    Mit dieser kann man evaluieren, ob die eigenen Webseiten sichere Zertifikate haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

WordPress Cookie Hinweis von Real Cookie Banner