Donnerstag, 15. Mai 2008

OpenSSL-Schwachstelle

Wie unter anderem der Heise-Verlag in seinem Artikel Schwache Krypto-Schlüssel unter Debian, Ubuntu und Co. berichtete, gibt es ein kleineres Problem mit Kryptographie-Schlüsseln, die unter gewissen Linux-Derivaten erzeugt werden. In erster Linie Debian und andere Distributionen wie Ubuntu oder Knoppix, die darauf aufbauen.

In erster Linie dürften hierbei Schlüssel oder Zertifikate für SSH, Apache oder VPN betroffen sein. Aber auch Name- oder Mailserver dürften betroffen sein. Hintergrund dieses Problems ist wohl, dass sich die Debian-Entwickler am 1. Mai 2006 das OK für die Änderung an dem Zufallszahlen-Generator geholt haben, dieser durch die Änderung aber angreifbar wurde. Das war den Entwicklern damals wohl auch bewusst, aber es ist niemand weiter darauf eingegangen. So musste selbst OpenSSL-Entwickler Ben Laurie, der in einem ersten Blog-Eintrag das Verhalten kritisierte, zurückrudern.

Egal, wie es nun wirklich war und er daran Schuld ist: Alle Schlüssel und Zertifikate, die mit den verwundbaren Versionen erzeugt wurden, müssen ersetzt werden. Ansonsten besteht die Gefahr, dass es zu einem Missbrauch kommt. Ob man selbst betroffen ist, kann man mit eine Perl-Tool überprüfen. Eine Anleitung zur Erstellung von SSH-Schlüsseln findet man beispielsweise auf den Seiten von Heiko Schlittermann, für SSL-Webserver-Zertifikate zum Beispiel auf den Internetseiten der LWsystems GmbH & Co. KG. War so mit das erste, was Google an ausführlicheren Anleitungen ausgespuckt hat. Und auch die Debian-Entwickler haben eine Seite mit Informationen zum Tausch von Schlüsseln online gestellt.

Keine Kommentare: