l+f: FreeBSD auf den Spuren des Debian-Debakels
Die Entwicklerversion von FreeBSD lieferte über Monate hinweg schlechte Zufallszahlen.
Mit einer knappen Mail warnt FreeBSD-Entwickler John-Mark Gurney vor einem kaputten Zufallszahlengenerator in FreeBSD. Über vier Monate lieferte das vor allem im Server-Bereich beliebte Open-Source-System schlechte Zufallszahlen. Die Folge: "Die meisten/alle [auf einem solchen System] erzeugten Schlüssel sind möglicherweise ratbar und müssen neu erstellt werden" warnt der Entwickler vor den Konsequenzen.
Das erinnert fatal an an das Debian-Debakel von 2008 ; auch NetBSD plagten bereits schwache Schlüssel. Zum Glück sind bei FreeBSD nur Entwicklerversionen betroffen – also konkret Kernel ab r273872. Wer ein solches einsetzt, sollte auf Version r278907 aktualisieren und seine Schlüssel checken.
lost+found: Die heise-Security-Rubrik für Kurzes und Skuriles aus der IT-Security (ju)
