…dann ist es Zeit mal wieder sein System auf den neuesten Stand zu bringen. So geschehen im openssl-Paket von Debian und allen Distributionen, die auf Debian basieren. So auch Ubuntu und Konsorten.
Durch eine Debian-spezifische Anpassung des Paketes ist es möglich den Output des Random Number Generators vorherzusagen. Da dieser dazu verwendet wird Keys zur Verschlüsselung von zum Beispiel SSH oder OpenVPN Verbindungen zu erzeugen, sollten die zur Verfügung stehenden aktuellen Pakete eingespielt werden.
Betroffen sind alle Pakete ab Version 0.9.8c-1. Bei Ubuntu betrifft das alle Versionen ab Ubuntu 7.04. Im Update ist ein Tool enthalten, das versucht verwundbare Keys im System zu finden und neue zu generieren. Dennoch sollte man auch selbst noch einmal überprüfen ob evtl. auf anderen Systemen noch Keys verwendet werden, die auf einem betroffenen System erstellt wurden.
Genaueres zum Vorgehen in den Security Advisories von Debian und Ubuntu (siehe unten)
Ich wünsche einen vergnüglichen Abend 🙂