Für Debian/Ubuntu-Menschen: OpenSSL-Schlüssel neu zu generieren
Veröffentlicht durch hernani am Donnerstag 15. Mai 2008, 02:05
Aus der Debianer-im-Schlüsselgenerationsfieber Abteilung
Wie uns Pasci mitteilt, gibts eine Ankündigung auf der Debian-Security-Announce-ML, wonach sich 2006 mit OpenSSL-Version 0.9.8c-1 im unstable-Zweig ein Bug eingeschlichen hat, der sodann in die etch-Distribution in den stabilen Zweig gelangte; Ubuntu ist seit v7.04 betroffen. Debian sarge und darauf basierende Systeme sind davon nicht berührt. Der Fehler besteht darin (Hinweis zum Fehler von Codeman bei golem), dass ein für das Kryptosystem notwendige zufällige Zahlenmaterial, gespeist aus unitialisiertem Speicher, zu Verwenden auskommentiert wurde, offenbar in Übereinstimmung mit dem Debian-Team in der Sache; dies um Compiler-Gemeckere beim Übersetzen auszuschliessen, wobei die Aktion offenbar unbewusst der Konsequenzen passierte. Der Fehler ist Debian-spezifisch und ist ansonsten dort relevant, wo auf Debian basierende Distributionen bestehen (eben z.B. Ubuntu).
Alle Schlüssel, die mittels der Verwendung der OpenSSL-Library gemacht wurden, sind neu zu erstellen - ist nun nach eingespielten Bugfix der Weg, den man gehen muss. Im Security-Announce-Mail wird auch auf ein Perl-Tool ("dowkd.pl") hingewiesen (PGP-Signatur der Entwickler), das verwendet werden kann, um wahrscheinliche Unsicherheiten festzustellen. Und nein: GPG ist davon im Übrigen nicht betroffen ;).
(Infos auch via golem)
Der Artikel sagt es im Grunde schon, aber ich denke, es sollte zur Sicherheit nochmals betont werden: Nicht nur die mit den OpenSSL Tools produzierten Schlüssel sind betroffen, sondern auch all jene, die von der OpenSSL Library für andere Applikationen erzeugt werden. Dazu gehören unter anderem die OpenSSH Keys.
--
Nicht Kommerz oder Gesetze können OpenSource zerstören, sondern Paranoia und Fanatismus.
Von Anonymer Feigling am Thursday 15. May 2008, 13:09 MEW (#7)
"Der Fehler ist Debian-spezifisch und ist ansonsten dort relevant, wo auf Debian basierende Distributionen bestehen"
Der Fehler ist auf jedem System relevant, das Debian-User einen Login ermöglicht! Es wird daher empfohlen, die entsprechenden Keys zu Blacklisten, siehe bspw. OpenSSH Blacklist package
Private Keys sind bereits im Umlauf. (Link poste ich mal nicht. Findet sich aber per Google.)
Und Patch einspielen reicht bei weitem nicht, das wird sicher noch langfristige Auswirkungen haben.
Aber es ist doch schön zu sehen das doch alle nur mit Wasser kochen. Vielleicht lehrt das die OSS Zealots das auch das "viele Augen" Prinzip nicht perfekt ist.
Anscheinend funktioniert weder das OSS QA Konzept nocht das QA Konzept kommerzieller Firmen.
