BreakingPoint Systems warnt vor einem Fehler in OpenSSL unter Debian-Linux. Als Folge sollen SSL- und SSH-Schlüssel, die zwischen September 2006 und dem 13. Mai 2008 erstellt wurden, unsicher sein.
Auslöser war nach Aussagen von Forschungsleiter H.D. Moore das Entfernen von Programmcode aus OpenSSL, um von Debuggern generierte Fehlermeldungen zu beseitigen. Dadurch liefere der Zufallsgenerator von OpenSSL für einen Schlüssel nur noch die Prozess-ID von OpenSSL als zufälligen Zahlenwert. „Auf der Linux-Plattform liegt der höchste Wert für eine Prozess-ID bei 32.768, was eine ziemliche geringe Anzahl von variablen Werten für einen Zufallsgenerator ist“, schreibt Moore auf Metasploit.com.
Der Fehler hat laut Moore weitreichende Folgen: „Alle SSL- und SSH-Schlüssel, die auf Debian-basierten Systemen wie Ubuntu erstellt wurden, können betroffen sein. Im Falle von SSL-Schlüsseln müssen alle damit erstellten Zertifikate zurückgezogen und erneuert werden. Administratoren, die den Zugriff auf ihre Server über SSH erlauben, müssen alle Schlüssel überprüfen, um auszuschließen, dass einer davon auf einem betroffenen System erstellt wurde.“ Zusätzlich seien alle Programme, die den Zufallsgenerator von OpenSSL nutzen, anfällig für Angriffe aus dem Internet.
Neueste Kommentare
Noch keine Kommentare zu Debian-Linux: Fehler setzt SSL-Verschlüsselung außer Kraft
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.