Tor und die OpenSSL-Lücke bei Debian
Über die schwere Sicherheitslücke im OpenSSL-Paket von Debian wurde in verschiedenen Quellen berichtet. Wer mehr Informationen haben will, findet im Debian-Wiki Anweisungen. Außerdem stehen bei Zak B. Elep Hinweise und HD Moore stellte auch eine nette Seite zusammen. Doch was bedeutet diese Lücke für Tor? Gibt es da überhaupt Probleme?
In der Tat gibt es da richtig große Probleme, wie auch das Advisory zeigt. Tor nutzt für seine Krypto sehr intensiv OpenSSL und ist damit direkt betroffen. Roger Dingledine, einer der Entwickler, hat in einem längeren Artikel im Blog zu Problemen Stellung genommen.
Eines der entstandenen Probleme sind Tor-Server, die schwache Schlüssel einsetzen. Insgesamt handelt es sich um mindestens ein Siebtel aller Server. Angreifer können hier alle möglichen Attacken fahren und insbesondere auch unten bestimmten Bedingungen in die Pakete schauen. Effektiv wird also die Verschlüsselung aufgehoben. Die Tor-Entwickler haben daher alle derartigen Schlüssel gesperrt und ein Server mit einem veralteten Schlüssel kann in Zukunft nicht mehr als Server agieren.
Weiterhin verteilen Verzeichnisserver die Informationen über Tor-Server an die Tor-Clients. Die neueste Protokollversion ist die V3. Wer dies nutzt, könnte ein Problem bekommen. Hier schafft die neueste Tor-Entwicklerversion 0.2.0.26-rc Abhilfe. Dort werden ausschließlich korrekte Schlüssel ausgeliefert und die schwachen sind gesperrt.
Peter Palfrader hat sehr schnell reagiert und eine neue Version des Debian-Paketes hochgeladen. Wenn du also Debian, Ubuntu oder ähnliches nutzt, solltest du schnellstens die aktuellste Version installieren, um dich vor den obigen Problemen zu schützen.