ubuntuusers.de

Update: OpenSSL erzeugt fehlerhafte Schlüssel

kxubuntu_old.png

Seit September 2006 erzeugt OpenSSL bei Debian-basierten Betriebssystemen auf Grund eines fehlerhaften Patches leicht zu knackende Schlüssel. Ein Update für Ubuntu 8.04 ist bereits verfügbar.

Betroffen sind alle Anwendungen, die OpenSSL als Basis ihrer Verschlüsselungs- und Authentifizierungstechniken verwenden, unter anderem OpenSSH, OpenVPN, Apache, die Email-Verschlüsselung S/MIME und mittels OpenSSL erstellte Signaturen. Mit GnuPG und PGP erstellte Schlüssel sollen jedoch weiterhin sicher sein.

Die Debian-Maintainer raten en Administratoren und Anwendern, das OpenSSL-Update einzuspielen und alle fehlerhaften Schlüssel und X.509-Zertifikate auszutauschen. Weitere Informationen soll es auf einer extra eingerichteten Internetseite en zu diesem Thema geben. Zusätzlich gibt es ein Skript en, welches entsprechende Schlüssel-Dateien auf Schwachstellen prüfen kann.

Quelle: heise.de



Update, 18.05.08 - 18:40 Uhr:
Nachdem vor einer knappen Woche bekannt wurde, dass Debian-Derivate seit etwa zwei Jahren unsichere OpenSSL-Schlüssel verwenden ist mittlerweile die Verwirrung groß, was man nach einem Einspielen der Upgrades alles neu erstellen oder aktualisieren sollte. Tatsache ist, dass auch Systeme, die nicht auf Debian basieren von unsicheren Schlüsseln betroffen sein können.
Der Heise-Verlag hat einen zweiseitigen Wegweiser für Anwender und Administratoren veröffentlicht, in dem umrissen wird, welche Stellen man unbedingt überprüfen sollte.

Quelle: heise.de

Vielen Dank an brian für dieses Update.

Update, 20.05.08 - 17:53 Uhr:
Seit heute steht auch ein OpenSSH-Update für Ubuntu 6.06 LTS bereit, welches das an sich nicht betroffene System veranlasst, schwache Schlüssel zurückzuweisen.

Quelle: Ubuntu Security Notices

Update, 21.05.08 - 20:10 Uhr:
Auf Grund der Brisanz des Themas wurde nun ein Wiki-Artikel von martingr in das statische Wiki aufgenommen, der die technischen Hintergründe, sowie die Möglichkeiten, schwache Schlüssel bei OpenSSL- und OpenVPN-Verbindungen zu erkennen, beschreibt.
Desweiteren wurde dem Paket "openssl-blacklist" ein weiteres Update en für alle Ubuntu-Versionen ab Ubuntu 6.06 LTS spendiert, welches die Anzahl der als schwach bekannten Schlüssel aktualisiert und es ermöglicht, ab sofort auch X.509 Zertifikate zu überprüfen.

Diskussion und Kommentare