8 bits

In Debian's OpenSSL-pakket (versies 0.9.8c-1 tot en met 0.9.8g-9) blijkt een lek te zitten, waardoor alle SSH, SSL OpenVPN, DNSSEC sleutels die tussen september 2006 en 13 mei 2008 op Debian-gebaseerde systemen (zoals Ubuntu) zijn gegenereerd, voorspelbaar zijn (maximaal 32.767 sleutel-mogelijkheden). Praktisch gezien heeft dit dus effecten op de veiligheid van diverse beveiligingscomponenten, zoals de toegang tot SSH-servers, VPN-concentrators en beveiligde verbindingen met onder meer webservers en mailservers. De overheid (GovCERT) waarschuwt ervoor dat bedrijven getroffen kunnen zijn door deze kwetsbaarheid, ook als er binnen de organisatie geen gebruik wordt gemaakt van Debian.

Gebruikers van Debian's OpenSSL wordt dringend aangeraden SSH-sleutels en SSL-certificaten opnieuw te genereren. Tevens heeft Debian een openssh-blacklist beschikbaar gesteld, waardoor SSH-servers geen kwetsbare sleutels meer accepteren.

Meer informatie:

http://lists.debian.org/debian-security-announce/2008/msg00152.html

Met enige regelmaat kom je op het internet webpagina's tegen die zijn beveiligd door middel van het SSL protocol. SSL (secure socket layer) is een vinding van Netscape en dient ervoor om een beveiligde verbinding te leggen tussen server en browser. Hierbij wordt gebruik gemaakt van een zogenoemde publieke sleutelcertificaat, meer in het bijzonder een servercertificaat. Met een beveiligde verbinding via SSL is het bijvoorbeeld vrijwel niet mogelijk om te 'sniffen' welke gegevens je op de webpagina invoert. Om de beveiligde verbinding te kunnen leggen heeft de server van een Trusted Third Party (Certificate Authority (CA)) een certificaat toegewezen gekregen.