BreakingPoint Systems warnt vor einem Fehler in OpenSSL unter Debian-Linux. Als Folge sollen SSL- und SSH-Schlüssel, die zwischen September 2006 und dem 13. Mai 2008 erstellt wurden, unsicher sein.
Auslöser war nach Aussagen von Forschungsleiter H.D. Moore das Entfernen von Programmcode aus OpenSSL, um von Debuggern generierte Fehlermeldungen zu beseitigen. Dadurch liefere der Zufallsgenerator von OpenSSL für einen Schlüssel nur noch die Prozess-ID von OpenSSL als zufälligen Zahlenwert. „Auf der Linux-Plattform liegt der höchste Wert für eine Prozess-ID bei 32.768, was eine ziemliche geringe Anzahl von variablen Werten für einen Zufallsgenerator ist“, schreibt Moore auf Metasploit.com.
Der Fehler hat laut Moore weitreichende Folgen: „Alle SSL- und SSH-Schlüssel, die auf Debian-basierten Systemen wie Ubuntu erstellt wurden, können betroffen sein. Im Falle von SSL-Schlüsseln müssen alle damit erstellten Zertifikate zurückgezogen und erneuert werden. Administratoren, die den Zugriff auf ihre Server über SSH erlauben, müssen alle Schlüssel überprüfen, um auszuschließen, dass einer davon auf einem betroffenen System erstellt wurde.“ Zusätzlich seien alle Programme, die den Zufallsgenerator von OpenSSL nutzen, anfällig für Angriffe aus dem Internet.
Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…
Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…
Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…
Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.
Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…