Content
OpenSSL-Probleme und Fli4l
In den letzten Tagen war viel über die Probleme mit OpenSSL und Debian zu lesen, z.B. im Heise Newsticker. Im folgenden soll kurz diskutiert werden, inwieweit auch Fli4l von diesen Problemen betroffen ist.
- Ist fli4l betroffen?
- Sind die von mir verwendeten Schluessel betroffen?
- Welche Pakete arbeiten mit Schlüsseln, die erneuert werden müssen?
- Wo finde ich weiterführende Informationen?
1. Ist fli4l betroffen?
Die von Fli4l verwendete openssl Version ist nicht von Debian abgeleitet, sondern basieren direkt auf den Original-Quellen. Eine Änderung wie die, die in Debian zu den Problemen geführt hat, ist dort nicht zu finden.
Die von Fli4l verwendeten Quellen und Anpassungen an fli4l sind im Buildroot-Paket zu finden. Dort kann man nachschauen, falls man sich selbst vergewissern möchte.
2. Sind die von mir verwendeten Schlüssel betroffen?
Fli4l arbeitet teilweise mit Schlüsseln, die unter Umständen auf anderen Systemen erzeugt wurden (ssh und Openvpn-Keys z.B.). Wurden diese Schlüssel auf einem Debian- oder einem davon abgeleiteten betroffenen System(Ubuntu-Varianten, Knoppix, ...) erzeugt, sind diese Schlüssel betroffen und müssen erneuert werden. Genauere Informationen zu den betroffenen Systemen sind im eingangs zitierten Artikel zu finden zu finden.
3. Welche Pakete arbeiten mit Schlüsseln, die erneuert werden muessen?
Von den offiziellen Paketen sind das ssh- und das OpenVPN-Paket betroffen, beide arbeiten mit asymetrischen Schlüsseln, die geprüft und unter Umständen erneuert werden müssen.
4. Wo finde ich weiterführende Informationen?
Weiterführende Informationen sind z.B. hier zu finden: