Categories: Sicherheit

Debian-Linux: Fehler setzt SSL-Verschlüsselung außer Kraft

BreakingPoint Systems warnt vor einem Fehler in OpenSSL unter Debian-Linux. Als Folge sollen SSL- und SSH-Schlüssel, die zwischen September 2006 und dem 13. Mai 2008 erstellt wurden, unsicher sein.

Auslöser war nach Aussagen von Forschungsleiter H.D. Moore das Entfernen von Programmcode aus OpenSSL, um von Debuggern generierte Fehlermeldungen zu beseitigen. Dadurch liefere der Zufallsgenerator von OpenSSL für einen Schlüssel nur noch die Prozess-ID von OpenSSL als zufälligen Zahlenwert. „Auf der Linux-Plattform liegt der höchste Wert für eine Prozess-ID bei 32.768, was eine ziemliche geringe Anzahl von variablen Werten für einen Zufallsgenerator ist“, schreibt Moore auf Metasploit.com.

Der Fehler hat laut Moore weitreichende Folgen: „Alle SSL- und SSH-Schlüssel, die auf Debian-basierten Systemen wie Ubuntu erstellt wurden, können betroffen sein. Im Falle von SSL-Schlüsseln müssen alle damit erstellten Zertifikate zurückgezogen und erneuert werden. Administratoren, die den Zugriff auf ihre Server über SSH erlauben, müssen alle Schlüssel überprüfen, um auszuschließen, dass einer davon auf einem betroffenen System erstellt wurde.“ Zusätzlich seien alle Programme, die den Zufallsgenerator von OpenSSL nutzen, anfällig für Angriffe aus dem Internet.

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

19 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

23 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

24 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago