Sicherheitslücke in Debian: OpenSSL-Schlüssel lassen sich vorhersagen

Im OpenSSL-Zufallsgenerator von Debian GNU/Linux wurde eine Schwachstelle entdeckt, durch die sich bei Debian 4.0 die erzeugten Keys herausfinden lassen. Die Lücke betrifft alle SSH-, OpenVPN- und DNSSEC-Schlüssel. Auch die Keys für für SSL/TLS-Sitzungen und X.509-Zertifikate werden als unsicher eingeschätzt. Nur mit GnuPG und GnuTLS generierte Sicherheitsschlüssel sollen sicher sein. Debian Sarge und die Pakete anderer Linux-Distributionen sind von dem Problem nicht betroffen. Für Debian Etch haben die Entwickler das OpenSSL-Paket in der Version 0.9.8c-4etch3 bereitgestellt, das die Schwachstelle beseitigen soll. Version 0.9.8g-9 behebt den Fehler für Testing und Unstable. Anwender sollten das Update schnellstmöglich einspielen und alle mit OpenSSL erzeugten Schlüssel neu generieren. Die Debian-Entwickler haben auch die Public-Key-Authentifizierung auf den Projektservern deaktiviert. Außerdem ist ein ein Detector für OpenPGP-Signaturen verfügbar. Auch Ubuntu, das auf Debian basiert ist seit Version 7.04 von der Sicherheitslücke betroffen. Sicherheitsmeldungen gibt hier für OpenSSH und OpenSSL.

0 Kommentar(e)

Zum Posten von Kommentaren bitte