Schwachstelle in OpenSSL zwingt Benutzer zu neuen Schlüsseln

Schwachstelle in OpenSSL zwingt Benutzer zu neuen Schlüsseln

Von

Durch einen Fehler im Zufallszahlengenerator der OpenSSL-Bibliothek in von Debian abgeleiteten Distributionen sind damit erzeugte Schlüssel zu einem gewissen Grad vorhersagbar. Viele Anwender müssen nun neue SSH- und OpenVPN- und SSL-Schlüssel generieren, wollen sie nicht vor verschlossenen Türen stehen.

Die als CVE-2008-0166 verzeichnete Lücke betrifft nur Debian-Systeme ab der Version 0.9.8c-1 von OpenSSL, die im September 2006 zunächst im Unstable-Zweig und später in der Version 4.0 Einzug fand. Damals hatten die Entwickler einen Patch für den Zufallszahlengenerator aufgenommen, der in einem gewissen Maße vorhersagbare Werte liefert.

Da viele Programme die Bibliothek von OpenSSL verwenden, ist eine große Anzahl von Anwendungen von der Schwachstelle betroffen, die damit Schlüssel erzeugt haben. Dazu zählen unter anderem SSH, OpenVPN, DNSSEC und alle SSL-Schlüssel, die mit OpenSSL erzeugt wurden. Nicht anfällig sind Kryptographieanwendungen mit eigenen Bibliotheken wie GnuPG oder GNUTLS. Keine der Anwendungen selbst sind von der Schwachstelle betroffen, einzig die erzeugten Schlüssel sind kompromittiert und sollten ausgetauscht werden, empfiehlt das Debian-Security-Team.

Weil andere Distributionen wie Open Suse oder Fedora den Patch weiland 2006 nicht eingeführt haben, haben die dort erzeugten Schlüssel kein Problem. Wohl aber könnten Schlüssel auf diesen Systemen betroffen sein, wenn sie auf einer anderen Maschine erzeugt worden sind. Das Debian-Team bietet daher ein Tool an, das einen Schlüssel auf Verwundbarkeit überprüft. Viele Administratoren haben zwischenzeitlich ihre Authentifikationsserver, etwa den “sshd” angepasst und lassen nun kein Login mehr mit kompromittierten Schlüsseln zu. Dies führt dazu, dass Benutzer, die Public-Key als Methode zur SSH-Authentifizierung nutzen, nun ausgesperrt sind. Sie sollten sich auf anderem Wege (etwa per Passwort, wenn die Sicherheitspolitik das zulässt) oder direkt an den Administrator wenden. Das Debian-Projekt betreibt eine Webseite, die die notwendigen Maßnahmen für Admins und Anwender beschreibt.

Dem Vernehmen nach wurde der Zufallszahlengenerator nur mit der Prozess-ID des ausführenden Werkzeugs initialisiert. Dies führt dazu, dass die betroffenen Programme nur wenige Hunderttausend unterschiedliche Schlüssel generieren konnten. Diese Anzahl kann ein freventlicher Angreifer leicht automatisiert durchprobieren, weshalb die Debian-Entwickler ein schnelles Ersetzen anraten.

Verwandte Artikel

Linux-Kommandozeilentools kommen für Windows

Logo Windows 11 (Quelle: Microsoft)

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

(C) unter Verwendung eines Motivs von Andrei Suslov / 123RF.com

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben