Bei Debian und Ubuntu hat die OpenSSL-Bibliothek seit einem fehlerhaften Patch im Jahr 2006 vorhersagbare Zufallszahlen erzeugt. Einzelheiten dazu findet man in dem Debian Security Advisory DSA-1571-1. Diese kritische Sicherheitslücke führte zu schwachen Krypto-Schlüsseln und ermöglicht Angreifern unter Umständen SSL-Verbindungen abzuhören oder sich unautorisierten Zugriff auf SSH-Server zu verschaffen. Die Sicherheitslücke ist insbesondere deshalb so kritisch, weil so viele Anwendungen OpenSSL verwenden.
Auf einer extra angelegten Webseite beschreiben die Entwickler die notwendigen Schritte für den Schlüsselaustausch. Bis jetzt sind dort aber nur Informationen für OpenSSH und OpenSWAN / StrongSWAN zu finden. Zudem gibt es ein Perl-Skript, das SSH-Server sowie SSH- und OpenVPN-Schlüsseldateien auf die Schwäche testen kann. Sehr hilfreich kann auch das Debian-Wiki sein, weil man dort eine Liste der üblichen SSLkeys findet.
Besonders ärgerlich kann es sein, wenn man mit einem schwachen SSL-Key ein SSL-Zertifikat für seinen Webserver gekauft hat. In diesem Fall muss man eventuell ein neues kaufen.
Kritische OpenSSL-Sicherheitslücke bei Debian und Ubuntu
von
Schlagwörter:
Kommentare
Eine Antwort zu „Kritische OpenSSL-Sicherheitslücke bei Debian und Ubuntu“
-
Es gibt bei Heise jetzt auch eine Webseite, die unsichere SSL-Zertifikate erkennen kann:
http://www.heise.de/netze/tools/chksslkey
Mit dieser kann man evaluieren, ob die eigenen Webseiten sichere Zertifikate haben.
Schreibe einen Kommentar