Debian OpenSSL Schwachstelle

13. Mai 2008

Am 13. Mai 2008 kündigte das Debian-Projekt an, dass ein Update von Debians OpenSSL-Paket im Jahr 2006 eine Sicherheitslücke enthält, die den Zufallszahlengenerator des Systems schwächen kann und so die Verschlüsselung und Authentifizierung von SSH und SSL berechenbar macht.

Patch Debian & Verwendung der Ausstellungsversicherung

Die Schwachstelle ist spezifisch für Debian und hat keine Auswirkungen auf andere Nicht-Debian-Betriebssysteme. Ein Nicht-Debian-System kann jedoch beeinträchtigt werden, wenn Verschlüsselungen von einem betroffenen Debian-System verwendet werden.

Debian hat eine Korrektur zur Verfügung gestellt, doch diese Korrektur verhindert nur die zukünftige Ausbreitung der Sicherheitslücke und beseitigt vorherige Vorgänge nicht. Deshalb wird für alle Debian-Systeme ab Version 0.9.ec-1 dringlichst empfohlen alle Verschlüsselungen, die mit OpenSSL erzeugt wurden, von Grund auf neu zu erstellen. Für zusätzliche Information über die Schwachstelle und Information bezüglich der Korrektur wenden Sie sich bitte an den folgenden Debian-Sicherheitsratgeber DSA-1571-1.

Zur Behebung dieses Problems gehen Sie bitte folgendermaßen vor:

1. Laden Sie die im Debian-Sicherheitsratgeber DSA-1571-1 bereitgestellte Debian-Korrektur DSA-1571-1 herunter und installieren Sie diese.

2. Ersetzen Sie alle betroffenen SSL-Zertifikate. GeoTrust® bietet für einen begrenzten Zeitraum für alle von dieser Sicherheitslücke betroffenen GeoTrust®-Kunden den kostenlosen Widerruf und Ersatz von SSL-Zertifikaten an. Wenn Sie Ihre neue Zertifikatsignierungsanfrage (CSR) erzeugen, ist es wichtig sicherzustellen, dass die Zertifikatsinformation (unterschiedlicher Name) mit der Information auf dem vorhandenen Zertifikat übereinstimmt.

3. Wenn Sie ein RapidSSL®, GeoTrust® oder Thawte™ SSL-Zertifikat haben, besuchen Sie bitte die GeoTrust Website indem Sie Hier klicken, um die kostenlose Ausstellungsversicherung anzuwenden.

4. Wenn Sie nicht sicher sind, ob Sie betroffen sind Klicken Sie hier, um den von Debian veröffentlichten Detektor für schwache Verschlüsselung anzuwenden.

Hinweis: Die kostenlose Ausgabeversicherung wird nur betroffenen Kunden gewährt.