Debians implementatie van OpenSSL is kwetsbaar vanaf versie 0.9.8c-1 die in september 2006 aan de distributie is toegevoegd. Het gevolg is dat aanvallers met minimale kennis van het systeem toch eenvoudig de gebruikte sleutels kunnen raden. Kwetsbaar zijn de encryptiesleutels die worden gebruikt in onder meer OpenSSH, OpenVPN en SSL-certificaten.

Debian dringt erop aan dat al het cryptografisch materiaal dat is gegenereerd met OpenSSL vanaf de genoemde versie volledig opnieuw wordt gecreëerd. "Alle DSA-sleutels die ooit voor ondertekening of authenticatie zijn gebruikt op de getroffen Debian-systemen moeten als onbetrouwbaar worden beschouwd."

Debian benadrukt dat besturingssystemen die niet zijn gebaseerd op Debian ook niet kwetsbaar zijn, op voorwaarde dat geen zwakke sleutels worden geïmporteerd. Een OS dat wel kwetsbaar is, is Ubuntu.. "Wij beschouwen dit als een extreem serieuze kwetsbaarheid en dringen erop aan dat alle gebruikers onmiddellijk hun systemen beveiligen", zo staat in een Ubuntu Security Notice. Kwetsbaar zijn onder andere de Ubuntu-versies 7.04 (Feitsy), 7.10 (Gutsy) en 8.04 LTS (Hardy). "Alle OpenSSH- en X.509-sleutels die op dergelijke systemen zijn gegenereerd moeten als onbetrouwbaar worden beschouwd", aldus Ubuntu.

Bron: Techworld