Securityleak Debian OpenSSL Paket

rediculum · 14. Mai 2008

die einen oder anderen deb-user habens bestimmt mitbekommen. das package openssl-0.9.8c-4etch1 hat ein sicherheitsloch im random number generator für die erzeugung von keys.

http://www.debian.org/security/2008/dsa-1571

meine besorgnis sind eigentlich nicht die host- und rootkeys, sondern mit openssl erstellte x509 zertifikate, welche kostenpflichtig signiert worden sind (by verisign z.b.). muss man diese jetzt neu erstellen oder was? scheint für mich so zu sein. das wäre ja ein kostenspieliger bug von debian!

ComBat · 14. Mai 2008

http://wiki.debian.org/SSLkeys

Applications/protocols known to use these keys:

* openssh (both server and user keys)
* OpenVPN
* DNSSEC
* key material for X.509
* encfs
* Tor
* postfix
* cyrus imapd
* courier imap/pop3
* apache2 (ssl certs)
* dropbear
* cfengine
* puppet
* vsftpd SSL certificates if using FTPS? (vsftpd seems to link to openssl...)

rediculum · 15. Mai 2008

SSL Certificate Reissuance:
http://wiki.debian.org/SSLkeys…650f72117a9884f89d2349032

Verisign: unknown

Huiuiui!

try-and-hack http://metasploit.com/users/hdm/tools/debian-openssl/

Ganto · 18. Juni 2008

lies mal das hier: http://www.verisign.com.au/press/2008/20080520.html

wenn du natürlich dein certificate-request mit einer betroffenen SSL version gemacht hast, dann musst du dein zertifikat neu austellen lassen. da können sie ja nichts dafür...

gruss ganto

rediculum · 19. Juni 2008

jap ne is klar. die frage war ja nur, ob verisign es kostenlos revoked/neu signiert oder nicht.

Peter Craft · 19. Juni 2008

naja wenn da bisschen geld zu verisign fliesst ists sicher auch ned schlecht fürs ubuntu projekt