Riesen-Leck bei Debian

EnterpriseSicherheit

Ein Fehler in Debian-basierten Linux-Distributionen und möglicherweise auch bei Ubuntu könnten für Anwender und Unternehmen eine Menge Arbeit bedeuten. So sollten sämtliche kryptografischen Schlüssel, die mit OpenSSL der Versionen 0.9.8c-1 oder älter generiert wurden, erneuert werden.

Bei Schlüsseln, die aus diesen Quellen stammen, können Hacker die Verschlüsselung umgehen. Der Fehler liegt dabei in dem Bereich, in dem zufällige Zahlenfolgen generiert werden, die dann für die Schlüssel verwendet werden. Über eine so genannte Brut-Force-Attacke können Angreifer die Keys (Schlüssel) in Secure Shell, den Domain Name System Security Extensions, OpenVPN oder auch in den Sessions von SSL/TLS ‘erraten’.

Offenbar, wie es jetzt in einer Mitteilung des Debian-Projektes heißt, besteht das Problem seit dem Herbst 2006. Sämtliche Schlüssel, die seitdem mit der Version 0.9.8c-1 von OpenSSL auf Debian-Systemen erstellt wurden, sollten daher von Grund auf neu erstellt werden.

Auch sämtliche DSA-Schlüssel, die zur Authentifizierung auf Debian generiert wurden, sind höchst wahrscheinlich betroffen. Da sich das Patchen und die erneute Generierung der Schlüssel schnell zu einem größeren Projekt auswachsen kann, hat das Projekt ein Tool entwickelt, mit dem sich die Schwachstellen schnell ausfindig machen lassen.

Eile scheint angeraten, denn offenbar zirkulieren bereits die ersten Tools, über die sich der Fehler ausnützen lässt.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen