OpenSSL er en åpen kildekode-basert implementering av Secure Sockets Layer- og Transport Layer Security-protokollene, som brukes for å tilby kryptert kommunikasjon over Internett. Protokollene brukes for å sikre alt fra lasting av nettbanksider til e-post.
I går kom meldingen om at en person som heter Luciano Bello, har funnet ut at slumptallgenerator i OpenSSL-pakken til Linux-distribusjonen Debian, er forutsigbar. Dette betyr at kryptografiske nøkler, som er laget med denne pakken, trolig kan gjettes.
Debian-distribusjonen er en av de mer utbredte Linux-distribusjonene, men er i tillegg grunnlaget for flere andre distribusjoner, inkludert den trolig mest brukte av dem alle, nemlig Ubuntu.
Andre Linux-distribusjoner som ikke er basert på Debian, er derimot ikke direkte berørt. Denne sårbarheten skyldes en modifikasjon som er gjort av Debian-prosjektet.
Sårbarheten at alle SSH-forbindelser til Debian-baserte servere må oppfattes som ukrypterte. Alle SSL-sertifikater generert på disse systemene er nå i praksis ukrypterte. Sikre websider som kjøres fra slike systemer er i praksis ukrypterte. Dette kan gjelde alt fra nettbutikker hvor man oppgir kredittkortinformasjon til nettbanker.
Ifølge en digi.no-leser vil alle nøkkelpar med private og offentlige nøkler som er generert for automatisk pålogging fra Debian- og Ubuntu-maskiner være særdeles enkelt knekkbare. Det betyr at alle som benytter seg av dette til å logge på maskiner, i praksis ikke har noen noen form for sikker autentisering.
Debian-prosjektet kommer i denne meldingen med en sterk anbefaling om at alt kryptografisk nøkkelmateriell som er blitt laget med berørte OpenSSL-utgaver, må lages på nytt fra bunnen av. Sårbarheten ble introdusert i versjon 0.9.8c-1, som har en historikk som strekker seg helt tilbake til 17. september 2006.
Debian 4.0 (etch) er den første Debian-utgaven som er berørt. Alle Ubuntu-versjoner, fra og med Ubuntu 7.04 (Feisty) er berørt.
Sårbarheten er blitt fjernet i openssl-pakken til Debian med versjonsnummer 0.9.8c-4etch3. En oversikt over hvilke oppdateringer som må installeres i de ulike utgavene av Ubuntu, finnes på denne siden.
Berørte nøkler inkluderer SSH-nøkler, OpenVPN-nøker, DNSSEC-nøkler og nøkler for bruk sammen med X.509-serifikater og arbeidsøktnøkler brukt i SSL/TLS-forbindelser. Nøkler generert med GnuPG eller GNUTLS er ikke berørt.
Les også:
- [01.10.2003] Fire nye sikkerhetshull i OpenSSL
