Skip to content

Tor und die OpenSSL-Lücke bei Debian

Über die schwere Sicherheitslücke im OpenSSL-Paket von Debian wurde in verschiedenen Quellen berichtet. Wer mehr Informationen haben will, findet im Debian-Wiki Anweisungen. Außerdem stehen bei Zak B. Elep Hinweise und HD Moore stellte auch eine nette Seite zusammen. Doch was bedeutet diese Lücke für Tor? Gibt es da überhaupt Probleme?

In der Tat gibt es da richtig große Probleme, wie auch das Advisory zeigt. Tor nutzt für seine Krypto sehr intensiv OpenSSL und ist damit direkt betroffen. Roger Dingledine, einer der Entwickler, hat in einem längeren Artikel im Blog zu Problemen Stellung genommen.

Eines der entstandenen Probleme sind Tor-Server, die schwache Schlüssel einsetzen. Insgesamt handelt es sich um mindestens ein Siebtel aller Server. Angreifer können hier alle möglichen Attacken fahren und insbesondere auch unten bestimmten Bedingungen in die Pakete schauen. Effektiv wird also die Verschlüsselung aufgehoben. Die Tor-Entwickler haben daher alle derartigen Schlüssel gesperrt und ein Server mit einem veralteten Schlüssel kann in Zukunft nicht mehr als Server agieren.

Weiterhin verteilen Verzeichnisserver die Informationen über Tor-Server an die Tor-Clients. Die neueste Protokollversion ist die V3. Wer dies nutzt, könnte ein Problem bekommen. Hier schafft die neueste Tor-Entwicklerversion 0.2.0.26-rc Abhilfe. Dort werden ausschließlich korrekte Schlüssel ausgeliefert und die schwachen sind gesperrt.

Peter Palfrader hat sehr schnell reagiert und eine neue Version des Debian-Paketes hochgeladen. Wenn du also Debian, Ubuntu oder ähnliches nutzt, solltest du schnellstens die aktuellste Version installieren, um dich vor den obigen Problemen zu schützen.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden
Formular-Optionen
cronjob