Als Ergänzung der Pro-Linux Bericht[0] dazu: > Ein gestern korrigiertes Sicherheitsproblem in der Bibliothek OpenSSL > in Debian hat offenbar weitreichende Auswirkungen. > > Das gestrige Update von Debian liest sich erschreckend. Durch eine > vor zwei Jahren von Debian in der Bibliothek vorgenommene Änderung > wurde der Zufallsgenerator nicht ausreichend initialisiert, so dass > alle seither mit OpenSSL generierten Schlüssel potentiell unsicher > sind. Das Problem ist Debian-spezifisch, betrifft aber auch alle von > Debian abgeleiteten Distributionen wie Ubuntu, das ebenfalls schon > ein Update herausgegeben hat. Neben OpenSSL müssen auch Programme, > die Kopien der Bibliothek enthalten, aktualisiert werden, was zu > weiteren Updates führen wird. > > Betroffen sind Schlüssel, die von OpenSSL 0.9.8c-1 und neueren > Versionen seit 17. September 2006 erzeugt wurden. Die Anwender sind > aufgefordert, ihre Schlüssel für SSH, OpenVPN, DNSSEC, > X.509-Zertifikate und Session-Keys SSL/TLS-Verbindungen zu prüfen und > notfalls neue zu erzeugen. Nicht betroffen sind Schlüssel, die mit > GnuPG oder GNUTLS erzeugt wurden. Zum Verifizieren der Schlüssel > steht ein Perl-Skript bereit. > > Als Konsequenz hat das Debian-Projekt vorübergehend Public Key-Logins > in der internen Infrastruktur gesperrt. Eine Diskussion, wie es zu > dem Fehler kommen konnte, wird zur Zeit in verschiedenen > Mailinglisten und Foren geführt. Auslöser war eine Fehlermeldung im > Debian-Bugtracker. Die Korrektur dieses Fehlers erfolgte an zwei > Stellen, eine davon war fehlerhaft. Obwohl die Korrektur öffentlich > und auch auf der OpenSSL-Mailingliste diskutiert wurde, wurde der > Fehler nicht erkannt. > > In die Kritik gerät allerdings auch OpenSSL selbst. Deren Code > versucht, die Entropie des Zufallsgenerators zu erhöhen, indem > Zufallszahlen aus verschiedenen Quellen hinzugefügt werden. Eine > dieser Quellen ist eine Bytefolge, die an einer Stelle lediglich auf > »nicht initialisierten« Speicher verweist. Diese Methode gilt als > fragwürdig. Der ursprüngliche Entwickler von OpenSSL, Ben Laurie, > sieht allerdings das Problem allein bei Debian und behauptet, dass > die Änderung von Debian nie mit den OpenSSL-Entwicklern diskutiert > wurde. [0] http://www.pro-linux.de/news/2008/12676.html
Attachment:
signature.asc
Description: OpenPGP digital signature