Houston, we have an openssl problem

Also von dem openssl Desaster bei Debian/Ubuntu haben ja sicher alle schon gehört – Quintessenz: jemand hat eine Zeile Code im Source geändert weil ihm eine Warnung beim build-Vorgang störte und damit die gesamte Entropie aus dem Key-Erzeugungsalgorithmus entfernt. Ergebnis: da die einzige noch vorhandene Entropie nur die PID des generierenden Prozesses war kann man sich mit einem Satz von ca. 32000 vorgefertigten Schlüsseln problemlos als “man-in-the-middle” in jede ssl gesicherte Transaktion einschleifen. Grosse Scheisse. Wer mehr dazu lesen will kann das z.B. hier tun.
Bei Debian und Ubuntu tat man sein bestes um das Problem zu fixen – und ist bei Ubuntu vielleicht leicht über das Ziel hinausgeschossen: nicht nur meine ssh-hostkeys wurden ungefragt neu erzeugt, auch mein OpenVPN lief nicht mehr – mit der Meldung

/var/log/daemon.log.1.gz:May 16 21:36:39 xxx ovpn-tls-xxx: ERROR: ‘/etc/openvpn/xxx.key’ is a known vulnerable key. See ‘man openssl-vulnkey’ for details.

Ok, zugegeben, benutzen möchte man so einen key ja nicht mehr – nur latent doof, wenn man seine eigene CA z.B. genau durch eben jenen Tunnel erreicht – ok, es gibt noch andere Wege, aber es mag Situationen geben wo man dadurch slightly fucked ist:

Houston an Space-Shuttle – was ist los, wir erreichen über den Tunnel euren Bordcomputer nicht mehr
Space-Shuttle an Houston, wir haben hier gerade ein Ubuntu Update gemacht und es scheint als wären die sicheren Verbindungen zur Bodenstation alle tot
Houston an Space-Shuttle da müsst ihr euch nen neuen key bauen
Space-Shuttle an Houston Kunststück vor lachen – dazu müssten wir uns via Tunnel ein neues Zertifikat ziehen
Houston an Space-Shuttle wir würden euch jetzt gerne die Anflugkurven für die Landung durch den Tunnel schicken
Space-Shuttle an Houston: FUCK!
Houston an Space-Shuttle wir haben einen neuen key generiert und halten den Ascii Ausdruck vor die Kamera – das müsst ihr nur noch abtippen
Space-Shuttle an Houston FICKT euch, ich lande jetzt im guten alten Handbetrieb Yeeeeee-Haaaaaa

oder so ähnlich

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Noch keine Kommentare

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar: Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.

Hier die Zeichenfolge der Spamschutz-Grafik eintragen:
Pavatar, Favatar, Wavatars, Monster ID, Pavatar Autoren-Bilder werden unterstützt.
Textile-Formatierung erlaubt
: Daten merken?