Skip to content

Tor und die OpenSSL-Lücke bei Debian

Über die schwere Sicherheitslücke im OpenSSL-Paket von Debian wurde in verschiedenen Quellen berichtet. Wer mehr Informationen haben will, findet im Debian-Wiki Anweisungen. Außerdem stehen bei Zak B. Elep Hinweise und HD Moore stellte auch eine nette Seite zusammen. Doch was bedeutet diese Lücke für Tor? Gibt es da überhaupt Probleme?

In der Tat gibt es da richtig große Probleme, wie auch das Advisory zeigt. Tor nutzt für seine Krypto sehr intensiv OpenSSL und ist damit direkt betroffen. Roger Dingledine, einer der Entwickler, hat in einem längeren Artikel im Blog zu Problemen Stellung genommen.

Eines der entstandenen Probleme sind Tor-Server, die schwache Schlüssel einsetzen. Insgesamt handelt es sich um mindestens ein Siebtel aller Server. Angreifer können hier alle möglichen Attacken fahren und insbesondere auch unten bestimmten Bedingungen in die Pakete schauen. Effektiv wird also die Verschlüsselung aufgehoben. Die Tor-Entwickler haben daher alle derartigen Schlüssel gesperrt und ein Server mit einem veralteten Schlüssel kann in Zukunft nicht mehr als Server agieren.

Weiterhin verteilen Verzeichnisserver die Informationen über Tor-Server an die Tor-Clients. Die neueste Protokollversion ist die V3. Wer dies nutzt, könnte ein Problem bekommen. Hier schafft die neueste Tor-Entwicklerversion 0.2.0.26-rc Abhilfe. Dort werden ausschließlich korrekte Schlüssel ausgeliefert und die schwachen sind gesperrt.

Peter Palfrader hat sehr schnell reagiert und eine neue Version des Debian-Paketes hochgeladen. Wenn du also Debian, Ubuntu oder ähnliches nutzt, solltest du schnellstens die aktuellste Version installieren, um dich vor den obigen Problemen zu schützen.

Distrowars

Ich hatte auf meinem Laptop seit einiger Zeit ein Ubuntu installiert und kürzlich war ich der Meinung, dass er mal eine andere Distribution benötigt. Zum einen war kürzlich grml in der Version 1.1 erschienen und wollte getestet werden, andererseits hatte ich früher Gentoo und damit war ich damals auch zufrieden.

grml bringt das Programm grml2hd mit. Damit lässt sich die Live-CD auf die Festplatte bringen. Die Installation selbst ist recht einfach. Es wird nach der Partition und dem Dateisystem gefragt, Nutzer angelegt etc. In kürzester Zeit war das System installiert und ich konnte es nutzen. Doch es dauerte nicht lange und ich bemerkte, dass der Rechner beim Runterladen großer Dateien langsam wurde. Ein Blick auf die DMA-Einstellungen bestätigte den Verdacht, dass kein DMA eingeschalten ist. Es liess sich nicht aktivieren und dmesg zeigte:

ata_piix 0000:00:1f.2: version 2.12
ata_piix 0000:00:1f.2: MAP [ P0 P2 IDE IDE ]
PCI: Unable to reserve I/O region #1:8@1f0 for device 0000:00:1f.2
ata_piix 0000:00:1f.2: failed to request/iomap BARs for port 0 (errno=-16)
PCI: Unable to reserve I/O region #3:8@170 for device 0000:00:1f.2
ata_piix 0000:00:1f.2: failed to request/iomap BARs for port 1 (errno=-16)
ata_piix 0000:00:1f.2: no available native port

Spätere Tests ergaben, dass das ein “grml-Problem” ist. Ich konnte den Effekt bei keiner anderen Live-CD (Debian, Gentoo, Knoppix, Ubuntu) feststellen. Eine Idee war noch, einen anderen Kernel zu installieren. Gesagt, getan. Doch nach einem Reboot begrüsste mich die Meldung GRUB. Also wieder die Live-CD eingeworfen und mittels grub-install den Rechner wieder bootfähig gemacht. Mika gab mir noch einen Tip, einen Blick auf /etc/kernel-img.conf zu werfen. Doch selbst mit einer angepassten Konfiguration ging das schief.

Daneben gab es noch kleinere Probleme und ich entschied mich, mit Gentoo weiter zu machen. Gentoo bringt seit einiger einen grafischen Installer mit. So hoffte ich, den mal praktisch testen zu können. Aber der X-Server tat mir nicht den Gefallen zu starten. So versuchte ich den konsolenbasierten zu nutzen. Dieser stürzte jedoch undeterministisch ab. Ich schaffte es damit nur einmal in die Nähe einer Installation zu kommen. Ich hätte es zwar noch auf dem klassischen Weg probieren können. Dazu fehlte mir jedoch die Lust.

Bei Distrowatch schaute ich mich noch nach weiteren interessanten Distributionen um. Jedoch konnte ich nichts ansprechendes finden und unternahm deswegen einen letzten Versuch mit Debian. Zu meiner Überraschung war das eine komplett problemlose Angelegenheit. Die Installation lief problemlos durch. Danach habe ich ein paar Anpassungen gemacht, Software eingespielt und Konfigurationen ergänzt. Also läuft auf dem Rechner zunächst mal Debian. Zumindest bis es mir zu langweilig wird. ;-)

Ach ja, wer sich fragt, welchen exotischen Rechner ich denn habe: IBM Thinkpad R52

Kein Hostname

Ich habe einen Rechner übernommen, auf dem ein Debian vorinstalliert war. Das Log war voll von Meldungen der Art Jan 18 23:42:32 foo sudo: user : unable to resolve host foo. Also suchte ich die üblichen Verdächtigen in /etc durch, jedoch ohne Erfolg. Die Fehlermeldung blieb. Also widmete ich mich einem anderen Problem und während ich hier so programmierte, fiel es mir wie Schuppen aus den Haaren: Schaue dir den Eintrag in der /etc/hosts genau an. und in der Tat, der war falsch. grml.

Installationsversuche mit der Sun UltraSPARC

Ich habe kürzlich zwei Sun UltraSPARCs 5 “geerbt”. Im Rahmen der LUG-Stammtische haben wir nun versucht, die Maschine neu zu bespielen.

Beim ersten Mal ging es zunächst darum, mit dem Open Boot Prom zurecht zu kommen. Wir haben uns da einige Befehle zusammengesucht und dann zunächst ein wenig damit rumgespielt. Martin kam gleich auf die Idee, ob man nicht mit Forth eine Fouriertransformation programmieren könnte. :-) Später versuchten wir dann von CD zu booten. Doch keine der CDs war so freundlich, uns den Gefallen zu tun. Nachdem die Zeit dann schon zu weit fortgeschritten war, beschlossen wir, beim nächsten Mal weiter zu machen.

Beim nächsten Mal hatten wir zuerst die Idee, ein NetBSD zu installieren. Das funktionierte ohne Probleme. Nur das Entpacken der Pakete dauerte seeeeeeehr lange (20 MB große tar.gz-Datei in 5.300 Sekunden)

Gestern wollten wir es dann wieder mit einem Linux probieren. Die Wahl fiel zunächst auf ein Debian. Ich brannte die entsprechende Netinstall-CD und los gings. Die Installation lief problemlos durch. Als ich dann später am System sass, stellte ich jedoch fest, dass ich einer alten Gewohnheit folgend, deutsches Tastaturlayout eingestellt hatte. Also versuchten wir, das richtige Layout einzustellen. Der erste Versuch, war die Sun-Type-5-Tastatur zu wählen. Das erwies sich jedoch als großer Fehler. Denn keine der Tasten lag nun dort, wo sie liegen sollte. Mit viel Hin- und Herprobieren fanden wir dann die Returntaste (Delete) und einige andere Tasten. Beim Probieren bereitete insbesondere die Tatsache Schwierigkeiten, dass auf dem i CTRL-S lag. Nun galt es herauszufinden, wo denn CTRL-Q liegt. ;-) Die BraLUG schien schon ähnliche Probleme gehabt zu haben. Auf der Beschreibung Debian Etch auf einer Sun Ultra 1 Creator schreiben sie ausdrücklich, dass man eine QWERTZ-Tastatur wählen soll. Beim nächsten Mal sind wir schlauer.

Letztlich dauerte das Rumspielen an der Tastatur dann wieder so lange, dass wir beschlossen, erstmal in die Kneipe zu wechseln und das nächste Mal weiter zu machen. Wahrscheinlich wird das eine Endlosinstallation. ;-)

cronjob