[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Debian JP master SVN www commits (rev.656)

=======================================================
Repository: /org/svn.debian.or.jp/repos
  Revision: 656
  Commiter: henrich
      Date: 2008-05-15 20:39:42 +0900 (木, 15  5月 2008)
=======================================================
Log:

 - add information about how this vuln will affect
 - add <strong> tags 


=======================================================
Changed:

U   www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d

Modified: www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d
===================================================================
--- www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d	2008-05-15 11:31:27 UTC (rev 655)
+++ www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d	2008-05-15 11:39:42 UTC (rev 656)
@@ -10,8 +10,11 @@
 これによって、乱数が使われずに暗号が非常に弱いものとなってしまう問題が発生しました。
 なお、この問題は Debian だけに止まらず Debian をベースとしているディストリビューション 
 (Ubuntu など)やシステムにも影響があります。</p>
-
 <p>
+端的に影響を言うと、SSH サーバでパスワード認証ではなく鍵認証を利用している場合、
+通常であれば鍵が無ければまずログインできないわけですが、乱数が推測可能な範囲になっているため、
+総当たり攻撃によってログインされてしまう…などの影響が考えられます。</p>
+<p>
 今回の件について、簡単な要約をすると以下になります (詳しくは最新の openssh-client 
 パッケージに含まれるドキュメント /usr/share/doc/openssh-client/README.compromised-keys.gz 
 を参照していただくことをお勧め致します)。</p>
@@ -20,27 +23,27 @@
 <dt>SSH クライアント/サーバについて</dt>
 <dd>
 <ol>
-<li>Sarge までの Debian で生成したSSH鍵は今回の問題の影響を受けません。
-<li>パッケージのアップデート (openssl, openssh-server) を実施してください。<br>
+<li><strong>Sarge までの Debian で生成したSSH鍵は今回の問題の影響を受けません</strong>。
+<li><strong>パッケージのアップデート (openssl, openssh-server) を実施</strong>してください。<br>
 OpenSSH サーバパッケージについては、<a href="http://www.debian.org/security/2008/dsa-1576";>最新の更新 
 (DSA-1576)</a>で今回の対応としてホスト鍵を作り直すようになっています 
 (ssh を通じて rsync などを運用している方は鍵の変更によって接続がエラーになりますので注意してください)。
 詳しくは <a href="http://lists.debian.or.jp/debian-users/200805/msg00069.html";>debian-users 
 メーリングリストでの訳を参照ください</a>。
-<li>OpenSSH の known_hosts ファイルを更新<br>
+<li>OpenSSH の <strong>known_hosts ファイルを更新</strong><br>
 パッケージを更新後、ssh クライアントの known_hosts ファイル (~/.ssh/known_hosts) 
 に登録されているホスト鍵と上記で更新されたサーバのホスト鍵が異なるので警告が出て繋がらないようになります。
 クライアントの known_hosts から該当のホストを削除してください (ssh-keygen -R <hostname> コマンドで削除)。
-<li>OpenSSH のクライアント鍵更新<br>
+<li>OpenSSH の<strong>クライアント鍵確認</strong><br>
 上記の更新に伴って、OpenSSH クライアントパッケージに確認用のツール (ssh-vulnkey) 
 が含まれました。各自のクライアント鍵が影響を受けるかどうかをチェックしてください。
 デフォルトの鍵ファイル名を使っている場合は "sudo ssh-vulnkey -a" 
 で確認が出来ますし、違う鍵ファイル名の場合は "ssh-vulnkey /path/to/key" 
 という形で確認が可能です。
-<li>影響を受けるクライアント鍵を更新<br>
+<li>影響を受ける<strong>クライアント鍵を更新</strong><br>
 SSH クライアント鍵については、各ユーザで作成をしなおす必要があります。
 ssh-keygen コマンドを使って再生成してください。
-<li>サーバに登録してあるクライアント鍵情報の更新 (authorized_keys ファイル)<br>
+<li>サーバに登録してあるクライアント鍵情報の更新 (<strong>authorized_keys</strong> ファイル)<br>
 必要な場合となる場合は、リモートで接続する先の authorized_keys 
 から脆弱な公開鍵情報を取り除いて、新たに生成した公開鍵の情報を登録してください。</ol></dd>