Linux

Schulserver durch openSSL Fehler in Debian und Ubuntu angreifbar

verfasst von: Lars Vogdt (original Autor: Lars)  am 19.Mai 2008 
(aktualisiert: 19.Mai 2008) 

Obwohl die meisten der derzeit bekannten Schulserver vom eigentlichen Problem nicht betroffen sind, ist die Gefahr dennoch nicht auszuschließen:

Denn wenn ein Admin auf einem Ubuntu oder Debian System einen SSH-Key erzeugt und diesen auf "seinem" Schulserver in der Datei authorized_keys hinterlegt haben sollte, um sich darüber auf dem Schulserver anzumelden, so ist dadurch auch der entsprechende Schulserver verwundbar. Denn wenn der Schlüssel mit den Standardeinstellungen für die Schlüssellänge generiert wurde, reicht es für einen Angreifer aus, 32.000 Schlüssel auszuprobieren. Üblicherweise reichen aber sogar schon 3.000 Schlüssel aus, um Erfolg zu haben. Entsprechend automatisierte Angriffe sollen schon im Umlauf sein.

Nun ist allerdings keineswegs Panik angebracht, sondern ruhiges und zielgerichtetes Handeln. Mit dem Titel "Der kleine OpenSSL-Wegweiser" gibt es von Heise security inzwischen einen kurzen Artikel, der über das Risikopotential und dessen Beseitigung aufklärt.