OpenSSL-bug Debian leidt tot 'code geel'
Gepubliceerd: Vrijdag 16 mei 2008
Auteur: Wilbert de Vries en Maarten Reijnders
Het Internet Storm Center (ISC) heeft het risiconiveau op internet verhoogd van groen naar geel. Reden is de OpenSSL-kwetsbaarheid in Debian Linux.
Directe aanleiding voor het aanpassen van het risiconiveau is het opduiken van scripts waarmee het mogelijk is om kwetsbare sleutels met behulp van brute force te kraken, zo schrijft security-deskundige Bojan Zdrnja op de site van ISC.
Eerder deze week waarschuwde Debian al voor de kwetsbaarheid in OpenSSL in Debian Linux. Door het lek is het makkelijker om de 'random' gegenereerde cryptografische sleutels (waaronder die voor SSH, SSL-certificaten, OpenVPN) te voorspellen.
Het probleem is ontstaan doordat Debian-ontwikkelaars een regel code hebben verwijderd. Daarmee brachten ze het aantal mogelijke seed-nummers (lange getallen die aan de basis liggen van het genereren van een publieke en private sleutel) terug tot 32.768 (normaal is het aantal mogelijkheden bijna oneindig).
Het gebeurt maar zelden dat het ISC het risiconiveau verhoogt. Het ISC duidt de mogelijke risiconiveaus aan met vier verschillende kleurcodes: groen (normaal), geel, oranje en rood.
Bron: Techworld
