!!! Wichtige Kundeninformation !!!

Sehr geehrte Damen und Herren,

wie vor Kurzem von Debian-Entwicklern bekannt gegeben wurde,  erzeugt die OpenSSL-Bibliothek dieser Linux-Distribution seit  einem fehlerhaften Patch schwache Krypto-Schlüssel.

Dies bedeutet, dass die erzeugten Zufallszahlenfolgen und somit  die erzeugten Schlüssel vorhersagbar sind.
Betroffen davon sind OpenSSL-Pakete der Distribution seit  einschließlich Version 0.9.8c-1 vom 17. September 2006 sowie  die abgeleitete Distribution Ubuntu.

Es stehen inzwischen fehlerbereinigte OpenSSL-Pakete bereit,  in denen die Entwickler auch zwei weitere, kleinere  Sicherheitsprobleme behoben haben.

Wir bitten Sie daher, schnellstmöglich Ihr System dahingehend zu überprüfen und ggf. ausgestellte Zertifikate und Schlüssel  nach einem OpenSSL-Update neu zu erstellen.

Mehr Informationen dazu finden Sie auf der offiziellen  Debian-Website unter  http://lists.debian.org/debian-security-announce/2008/msg00152.html

Für Debian gibt es einen OpenSSL Weak Key Detector, mit dem Sie ihre ausgestellen SSH-Keys überprüfen können. Das Tool installieren Sie wie folgt:

wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
gunzip dowkd.pl.gz
perl dowkd.pl user

Alternativ gibt es einen Web-basierten Test zum Prüfen, ob die SSH-Server-Zertifikate unsicher sind. Dieser Test wird unter http://serversniff.net/sshreport.php bereitgestellt.

Was denkst du?