Das Debian-openssl-Debakel — schnell handeln!
Wer in den letzten zwei Jahren einen SSH-Server eingerichtet hat oder SSL-Zertifikate erstellt hat, sollte unbedingt einen Blick auf folgende Links werfen:
Hintergrund: Erst jetzt wurde ein fieser Bug in der openssl-Bibliothek von Debian-basierten Systemen (betroffen ist also auch Ubuntu) entdeckt, der dazu führte, dass die Generierung von SSL-/SSH-Keys lediglich die aktuelle Prozess-ID einging. Da diese ID lediglich 32768 Werte annehmen kann, gibt es für eine gegebene Key-Länge lediglich 32768 unterschiedliche Schlüssel.
Dadurch ist es möglich, die verschlüsselte Kommunikation von SSH-Sitzungen nachträglich zu dekodieren (etwa aus einem Netzwerk-Dump), Man-in-the-Middle-Attacken durchzuführen, die nicht erkannt werden können, und (bei Verwendung von Publiy-Keys zur Benutzerauthentifizierung bei SSH) sich unautorisierten Zugang zu SSH-Servern zu verschaffen (bei Kenntnis des Benutzernamens). Auch HTTPS-Verbindungen können betroffen sein — die Sicherheit von Online-Banking ist also in Gefahr.
Auf der Debian-Seite wird erläutert, unter welchen Umständen verwundbare Schlüssel erzeugt wurden. Ein schneller Test zeigt, dass es ETLICHE Systeme sind. Man muss zeitnah handeln, da laut Heise Security schon jetzt erste flächendeckende Scans auf SSH-Server zu beobachten sind.
Administratoren von SSH-Servern sollten vorsichtshalber neue Host-Keys erzeugen. Benutzer von SSH-Servern, die zur Authentifizierung Keys verwenden, sollten diese neu generieren. Website-Betreiber mit SSL-Zertifikaten sind ebenfalls betroffen; die verwendeten Server-Keys müssen dann erneuert und erneut von der CA zertifiziert werden (was u.U. Kosten verursacht).
Die Auswirkungen dieses Bugs werden wir noch viele Monate spüren. Das Image von Open-Source-Sicherheitssoftware könnte dadurch nachhaltig leiden.
1 Kommentar