Lange überlegt ob ich mich dieser “hype” Sicherheitsmeldung auch anschließen soll oder einfach nix dazu sagen werden. Nun da ihr diese Zeilen hier lesen könnt, kann man stark davon ausgehen das ich dazu auch noch etwas loswerden möchte 
Zuerst, diese Lücke betrifft ausschließlich Debian Systeme und Systeme die von Debian abgeleitet sind, wie z.B. (*)buntu, Knoppix und so weiter.
Was ist nun eigentlich passiert? Im Jahr 2006, genauer gesagt am 17.09.2006, wurde eine neue OpenSSL in den unstable Zweig aufgenommen (Version 0.9.8c-1) und wurde von da an in den testing und anschließend in den Stable (Etch) Zweig aufgenommen. Diese Version “beschädigte” den Zufallszahlengenerator von OpenSSL und dieser produzierte nunmehr vorhersagbare Zufallswerte. Eine genauere Ausführung findet ihr bei slashdot.org.
Betroffen sind alle SSH Schlüssel, OpenVPN Schlüssel, DNSSEC Schlüssel und Schlüsselmaterial welches für X.509 Zertifikate, sowie Session keys und SSL/TLS Verbindungen genutzt wurde. Schlüssel die mit GnuPG oder GNUTLS erstellt wurden, sind nicht betroffen.
Wer nicht mehr nachvollziehen kann wann er mit welchem Programm seine Schlüssel erstellt hat muss unbedingt seine Schlüssel austauschen! Dies ist ein schwerwiegendes Problem und betrifft z.B. genauso Banken, wenn ihre Schlüssel mit der entsprechenden OpenSSL Version erstellt wurden.
Ihr solltet euren Serverkey ebenfalls tauschen:
rm /etc/ssh/*key* dpkg-reconfigure openssh-server
Die Lücke ist in 0.9.8c-4etch3 für Debian Etch geschlossen wurden. In der unstable Version (sid) und in der testing Distribution (lenny) wurden diese Sicherheitslücken in der Version 0.9.8g-9 geschlossen.
Update:
Heise hat einen Artikel erstellt der einen Überblick über die aktuellen Tools, Gefahren und deren Gegenmaßnahmen beschreibt.
Update++:
Heise hat einen weiteren Artikel dazu erstellt, welcher eine schöne Aufklärung über die komplette Tragweite dieses Problems umfasst. Für Administratoren ein absolutes must read.
- Howto SSL Zertifikat erstellen für Confixx
- Apache-SSL-Zertifikat erstellen
- Neues SSH Schlüsselpaar erstellen (Der Public Key muss auf den Server kopiert werden, nicht wie im Artikel beschrieben der Privatekey)
June 6th, 2008 10:35
He, zufällig auf deine Seite gestoßen.
Wäre nett gewesen, wenn Du den Fehler kurz als Kommentar gemeldet hättest, dann hätte ich das schon korrigiert.
Trotzdem danke für den Hinweise
December 23rd, 2008 14:49
> He, zufällig auf deine Seite gestoßen.
War es wirklich Zufall?