!!! Wichtige Kundeninformation !!!
Sehr geehrte Damen und Herren,
wie vor Kurzem von Debian-Entwicklern bekannt gegeben wurde, erzeugt die OpenSSL-Bibliothek dieser Linux-Distribution seit einem fehlerhaften Patch schwache Krypto-Schlüssel.
Dies bedeutet, dass die erzeugten Zufallszahlenfolgen und somit die erzeugten Schlüssel vorhersagbar sind.
Betroffen davon sind OpenSSL-Pakete der Distribution seit einschließlich Version 0.9.8c-1 vom 17. September 2006 sowie die abgeleitete Distribution Ubuntu.
Es stehen inzwischen fehlerbereinigte OpenSSL-Pakete bereit, in denen die Entwickler auch zwei weitere, kleinere Sicherheitsprobleme behoben haben.
Wir bitten Sie daher, schnellstmöglich Ihr System dahingehend zu überprüfen und ggf. ausgestellte Zertifikate und Schlüssel nach einem OpenSSL-Update neu zu erstellen.
Mehr Informationen dazu finden Sie auf der offiziellen Debian-Website unter http://lists.debian.org/debian-security-announce/2008/msg00152.html
Für Debian gibt es einen OpenSSL Weak Key Detector, mit dem Sie ihre ausgestellen SSH-Keys überprüfen können. Das Tool installieren Sie wie folgt:
wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
gunzip dowkd.pl.gz
perl dowkd.pl user
Alternativ gibt es einen Web-basierten Test zum Prüfen, ob die SSH-Server-Zertifikate unsicher sind. Dieser Test wird unter http://serversniff.net/sshreport.php bereitgestellt.
