Mögliche Sicherheitslücke: Schwache ssh-Keys aufgrund voraussagbarem Zufallsgenerator in open-ssl

Die Mai 13 23:07:59 BST 2008

Hallo,

ich wurde heute von den Administratoren meines ISP kontaktiert, weil ein 
von mir dort hinterlegter ssh-Key als unsicher eingeschätzt wurde.

Aufgrund einer Schwäche des Zufallsgenerators in open-ssl sind die mit 
Hilfe dieser Bibliothek erstellten ssh-Keys als verwundbar anzusehen 
[1]. Laut Debian ist der Fehler seit dem 17.09.2006 in der Welt.

Im heutigen Update von Ubuntu war dann auch entsprechende Updates drin. 
(Hinweis: Bei der interaktiven Nutzung von aptitude, muss das Update mit 
"U" angestoßen werden.) Und zwar kamen über die Leitung:
1. open-ssl
2. libssl
3. openssh-client
4. openssh-server
5. openssh-blacklist

Die Pakete 3 bis 5 kommen scheinbar nur, wenn man security.ubuntu.com in 
der sources.list eingebunden hat. Bei einer Konfiguration nur mit 
de.archive.ubuntu.com (wie im uu-wiki dargestellt [2]) kamen diese 
Pakete (noch?) nicht.

Beim Konfig von openssh-server werden die Host-Keys erneuert. Die 
betroffenen User-Keys müssen wohl immer manuell ersetzt werden. Mit dem 
Programm ssh-vulnkeys kann man betroffene ssh-Keys ermitteln.

Gruß

Thomas Schewe

[1] http://www.debian.org/security/2008/dsa-1571
[2] http://wiki.ubuntuusers.de/sources.list

-- 
Thomas Schewe
thosch at gmx.net aka thosch at nasobem.all.de

PGP-Fingerprint: 28CA 4499 8CE3 6B55 687E 6BB2 FC0F EACB 77DC FDC8

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 250 bytes
Beschreibung: OpenPGP digital signature
URL         : https://lists.ubuntu.com/archives/ubuntu-de/attachments/20080514/0e3c50f6/attachment.pgp 