Inhalte überspringen »
Security aktuell
Montag, 2. Juni 2008 - aktualisierte Meldung
Vorhersagbarer Zufallszahlengenerator führt zur Erzeugung schwacher Schlüssel
Systeme:
Linux / Debian
Programm:
OpenSSL
Programmversion:
< 0.9.8c-4etch3, < 0.9.8g-9
Programmlink:
Lösung:
Betroffen sind nur Debian sowie von Debian abgeleitete Distributionen wie z.B. Ubuntu. Andere Systeme können indirekt betroffen sein, wenn dort schwache Schlüssel importiert wurden.
Patches stehen zur Verfügung.
Nach der Installation der Patches sollten mit Versionen ab 0.9.8c-1 erzeugten Schlüssel durch neue ersetzt werden.
Nachtrag 14.5.:
Indirekt ist auch OpenSSH betroffen, auch dort müssen schwache Schlüssel ausgetauscht werden.
Nachtrag 15.5.:
Erste Exploits wurden veröffentlicht.
Nachtrag 16.5.:
Ein weiteres Testtool wurde veröffentlicht.
Nachtrag 2.6.:
Ein weiterer Exploit für SSH wurde veröffentlicht.
Nachtrag 3.6.:
Es wurden zwei Online-Tools zur Suche nach schwachen Schlüsseln veröffentlicht.
Betroffen sind nur Debian sowie von Debian abgeleitete Distributionen wie z.B. Ubuntu. Andere Systeme können indirekt betroffen sein, wenn dort schwache Schlüssel importiert wurden.
Patches stehen zur Verfügung.
Nach der Installation der Patches sollten mit Versionen ab 0.9.8c-1 erzeugten Schlüssel durch neue ersetzt werden.
Nachtrag 14.5.:
Indirekt ist auch OpenSSH betroffen, auch dort müssen schwache Schlüssel ausgetauscht werden.
Nachtrag 15.5.:
Erste Exploits wurden veröffentlicht.
Nachtrag 16.5.:
Ein weiteres Testtool wurde veröffentlicht.
Nachtrag 2.6.:
Ein weiterer Exploit für SSH wurde veröffentlicht.
Nachtrag 3.6.:
Es wurden zwei Online-Tools zur Suche nach schwachen Schlüsseln veröffentlicht.
Quellen:
- Debian: [SECURITY] [DSA 1571-1] New openssl packages fix predictable random number generator
- Ubuntu: [USN-612-1] OpenSSL vulnerability
- Nachtrag 14.5.: [SECURITY] [DSA 1576-1] New openssh packages fix predictable randomness
- Nachtrag 14.5.: Mandriva: [Security Announce] OpenSSL key/certificate weakness discovered in Debian-based systems
- Nachtrag 15.5.: Debian OpenSSL Predictable PRNG Toys
- Nachtrag 15.5.: milw0rm.com: Debian OpenSSL Predictable PRNG Bruteforce SSH Exploit
- Nachtrag 15.5.: [Full-disclosure] Debian OpenSSL vulnerability - major CAs unaffected
- Nachtrag 16.5.: milw0rm.com: Debian OpenSSL Predictable PRNG Bruteforce SSH Exploit (ruby)
- Nachtrag 19.5.: Debian -- Key Rollover
- Nachtrag 19.5.: SSLkeys - Debian Wiki
- Nachtrag 19.5.: entwickler.de: Debian und die schwachen Schlüssel
- Nachtrag 19.5.: entwickler.de: KW 21/08: Standpunkt Sicherheit
- Nachtrag 2.6.: milw0rm.com: Debian OpenSSL Predictable PRNG Bruteforce SSH Exploit (Python)
- Nachtrag 3.6.: [Full-disclosure] Checkinterface for weak SSL and SSH-Keys
- Nachtrag 3.6.: Search host for compromised SSL/HTTPS-Keys
- Nachtrag 3.6.: Search host for compromised SSH-Keys
Status:
Patch OK Erklärung
