Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en teknisk skribent, en it-säkerhetsspecialist och en övningskoordinator till CERT-SE, alla centrala roller i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 29 maj, 31 maj respektive den 5 juni.

Uppdaterad | Publicerad - Sårbarhet, krypto, Linux

SR08-159 Debian - OpenSSL sårbart

Slumptalsgeneratorn i OpenSSL på Debian förutsägbar. Nycklar tillhörande ett flertal applikationer påverkade.

Problembeskrivning

CVE-referens: CVE-2008-0166

Luciano Bello har upptäckt en allvarlig brist i OpenSSL:s slumptalsgenerator på Debian. Bristen medför att nyckelmaterial genererat med en sårbar version av OpenSSL är förutsägbart.

Flera applikationer som använder OpenSSL är sårbara, däribland OpenSSH och OpenVPN.
DNSSEC-nycklar och OpenSSL-genererade X.509-certifikat som skapats med en sårbar
OpenSSL-version är också påverkade. Likaså sessionsnycklar från SSL/TLS-uppkopplingar.

Problemet härstammar från en Debian-specifik modifikation som endast rör Debian
och närbesläktade system (ex. Ubuntu och Knoppix).

Påverkade versioner

  • Debian OpenSSL versioner från 0.9.8c-1. Problemet är åtgärdat i 0.9.8c-4etch3 (stable) samt 0.9.8g-9 (unstable och testing)

Mer information och programrättningar

http://lists.debian.org/debian-security-announce/2008/msg00152.html

http://www.ubuntu.com/usn/usn-612-1