Categories: Sicherheit

Debian-Linux: Fehler setzt SSL-Verschlüsselung außer Kraft

BreakingPoint Systems warnt vor einem Fehler in OpenSSL unter Debian-Linux. Als Folge sollen SSL- und SSH-Schlüssel, die zwischen September 2006 und dem 13. Mai 2008 erstellt wurden, unsicher sein.

Auslöser war nach Aussagen von Forschungsleiter H.D. Moore das Entfernen von Programmcode aus OpenSSL, um von Debuggern generierte Fehlermeldungen zu beseitigen. Dadurch liefere der Zufallsgenerator von OpenSSL für einen Schlüssel nur noch die Prozess-ID von OpenSSL als zufälligen Zahlenwert. „Auf der Linux-Plattform liegt der höchste Wert für eine Prozess-ID bei 32.768, was eine ziemliche geringe Anzahl von variablen Werten für einen Zufallsgenerator ist“, schreibt Moore auf Metasploit.com.

Der Fehler hat laut Moore weitreichende Folgen: „Alle SSL- und SSH-Schlüssel, die auf Debian-basierten Systemen wie Ubuntu erstellt wurden, können betroffen sein. Im Falle von SSL-Schlüsseln müssen alle damit erstellten Zertifikate zurückgezogen und erneuert werden. Administratoren, die den Zugriff auf ihre Server über SSH erlauben, müssen alle Schlüssel überprüfen, um auszuschließen, dass einer davon auf einem betroffenen System erstellt wurde.“ Zusätzlich seien alle Programme, die den Zufallsgenerator von OpenSSL nutzen, anfällig für Angriffe aus dem Internet.

ZDNet.de Redaktion

Recent Posts

Studie: Anstieg der APT-Angriffe auf Unternehmen

Insgesamt ist jedes vierte Unternehmen im Jahr 2024 das Opfer einer APT-Gruppe. Bei den schwerwiegenden…

3 Stunden ago

Update für Windows 11 löscht versehentlich Microsoft Copilot

Betroffen sind einige Nutzer von Windows 11. Die März-Patches deinstallieren unter Umständen die Copilot-App. Nicht…

15 Stunden ago

Entschlüsselungs-Tool für Akira-Ransomware entwickelt

Es funktioniert ausschließlich mit der Linux-Variante von Akira. Das Tool knackt die Verschlüsselung per Brute…

23 Stunden ago

Frauen in der IT – vielerorts weiter Fehlanzeige

Laut Bitkom-Umfrage meinen noch immer 39 Prozent der Betriebe, Männer seien für Digitalberufe besser geeignet.

1 Tag ago

Balkonkraftwerk mit Speicher: Lohnt sich die Investition wirklich?

Ein Balkonkraftwerk mit Speicher ermöglicht es, den Eigenverbrauchsanteil deutlich zu erhöhen und Solarstrom auch dann…

2 Tagen ago

Kritische Sicherheitslücke in Microsoft Windows entdeckt

ESET-Experten warnen vor Zero-Day-Exploit, der die Ausführung von schadhaftem Code erlaubt.

4 Tagen ago