Debian basierte Systeme erzeugen schwache Kryptoschlüssel

#1 Schwache Krypto-Schlüssel unter Debian, Ubuntu und Co. (Heise)

Zitat

Die OpenSSL-Bibliothek der Linux-Distribution Debian erzeugt seit einem fehlerhaften Patch im Jahr 2006 (!) schwache Krypto-Schlüssel. Der Sicherheitsexperte Luciano Bello entdeckten nun in dem OpenSSL-Paket eine kritische Schwachstelle, die die erzeugten Zufallszahlenfolgen und somit die erzeugten Schlüssel vorhersagbar macht. Das Problem betrifft nur Debian und davon abgeleitete Distribution wie Ubuntu und Knoppix. (...)

Auf OpenSSL basiert die Verbindungssicherheit vieler wichtiger Netzwerkdienste, beispielsweise des Webservers Apache, des Log-in-Dienstes SSH, des OpenVPN-Dienstes, des Nameservers Bind, der E-Mail-Verschlüsselung S/MIME sowie die Vertrauenswürdigkeit digitaler Signaturen. Dies ermöglicht Angreifern unter Umständen, beispielsweise SSL-Verbindungen abzuhören und zu manipulieren, sich unautorisierten Zugriff auf SSH-Server zu verschaffen oder den Cache von DNS-Servern zu vergiften.

Gepatchte OpenSSL Pakete sind inzwischen verfügbar, aber sämtliche Zertifikate und Schlüssel müssen neu erstellt werden. Das alte Debian OpenSSL hat für alle Zufallszahlen nur die 16 Bit lange Linux Process-ID verwendet, welches alle damit erstellen Schlüssel für Brute Force Angriffe verwundbar macht. Ein Exploit ist bereits verfügbar, siehe u. a. hier:
http://metasploit.com/users/hdm/tools/debian-openssl/
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.