schaf am 24. Mai 2024 um 09:59 |  0 Kommentare | Lesezeit: 55 Sekunden

Die Zombies des Debian-OpenSSL-Bugs

Vor 16 Jahren sorgte ein Bug dafür, dass mit Debian und OpenSSL erstellte Schlüssel unsicher waren. Viele DKIM-Setups nutzten auch 16 Jahre später solche Schlüssel.

Im Jahr 2008 wurde im Debian-Paket von OpenSSL eine Sicherheitslücke entdeckt, die seither als eine der gravierendsten Kryptographielücken aller Zeiten gilt: Ein fehlerhafter Patch sorgte dafür, dass OpenSSL keine korrekten Zufallszahlen erzeugte. Dadurch waren alle kryptographischen Schlüssel unsicher, die mit einer betroffenen Version von OpenSSL unter Debian oder Ubuntu erstellt wurden.

Der Patch sorgte dafür, dass lediglich die Prozess-ID (PID) und einige weitere Parameter wie die Architektur und die Schlüssellänge Einfluss auf die Schlüsselerzeugung hatten. Somit war es trivial möglich, alle plausiblen privaten Schlüssel zu erzeugen und öffentliche Schlüssel damit abzugleichen.

Das ist nun 16 Jahre her, doch dieser Bug ist nicht nur eine Fußnote in der Geschichte der IT-Sicherheit. Immer wieder kommt es zu Vorfällen, bei denen sich herausstellt, dass solche Schlüssel immer noch im Einsatz sind.

Mehr dazu findest Du auf golem.de





Kurze URL:


Bewertung: 4.5/5 (2 Stimmen)


Das könnte Dich auch interessieren:


Ähnliche News:

Weitere News:

Einen Kommentar schreiben

Du willst nicht als "Gast" schreiben? Logg Dich Hier ein.

Code:

Code neuladen

Kommentare
(0)

Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.




Kommentare:

Du hast bereits für diesen Kommentar angestimmt...

;-)

Top