Die OpenSSL-Bibliothek der Linux-Distribution Debian erzeugt seit einem fehlerhaften Patch im Jahr 2006 schwache Krypto-Schlüssel. Der Sicherheitsexperte Luciano Bello entdeckten nun in dem OpenSSL-Paket eine kritische Schwachstelle, die die erzeugten Zufallszahlenfolgen und somit die erzeugten Schlüssel vorhersagbar macht. Das Problem betrifft nur Debian und davon abgeleitete Distribution wie Ubuntu und Knoppix. Für Debian stehen inzwischen fehlerbereinigte OpenSSL-Pakete bereit, in denen die Entwickler auch zwei weitere, kleinere Sicherheitsprobleme behoben haben. Andere Distributionen dürften in Kürze folgen.
Kompletter Artikel
Quelle heise online
Diskussionsthread
Kompletter Artikel
Quelle heise online
Diskussionsthread
[Debian] Krypto-Keys unsicher (update)
Wie schon im Beitrag beschrieben, gab es da dieses OpenSSL-Issue in Debian und allen davon erbenden Distris. Jetzt ist erwiesen, dass als einziger Input für den Seed die PID des Prozesses eingeflossen ist. Demnach gibt es pro Key-Size/-Type/Achitektur-Tripel nur maximal 32,768 verschiedene...
serversupportforum.de
Last edited by a moderator: