[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:50520] [Translate] [SECURITY] [DSA 1576-1] New openssh packages fix predictable randomness
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1576-1 security@debian.org
http://www.debian.org/security/ Florian Weimer
May 14, 2008 http://www.debian.org/security/faq
- ------------------------------------------------------------------------
Package : openssh
Vulnerability : 予測可能な乱数生成器
Problem type : リモート
Debian-specific: はい
CVE Id(s) : CVE-2008-0166
昨日公開された Debian の openssl パッケージの更新 (DSA-1571-1, CVE-2008-
0166) は、OpenSSH にも間接的に影響します。この結果、壊れたバージョンの
Openssl で生成された全てのユーザとホスト鍵は、openssl の更新適用後も信用
できないものとして扱われなければなりません。
1. セキュリティ更新をインストールする
この更新は openssl の更新済みのパッケージに依存関係を指定していますの
で、自動的に修正済の libss0.9.8 パッケージと、新パッケージ
openssh-blacklist がインストールされます。
更新の適用が終わったならば、可能な場合には脆弱なユーザ鍵は自動的に拒
絶されます。但し全部の検出は行えません。ユーザの個人認証にこのような
鍵を使っている場合は、鍵は直後に動作しなくなり、新しい鍵で更新しなけ
ればならなくなります (第三節参照)。
OpenSSH ホスト鍵は、OpenSSH セキュリティ更新を適用後自動的に再作成さ
れます。更新時には、この処理の前にユーザへの確認問い合わせが行われま
す。
2. Update OpenSSH known_hosts files
ホスト鍵を再生成した場合、SSH を使っているシステムに接続の際、
known_hosts のホスト鍵の更新がすんでいない場合には以下の警告画面が表
示されます。
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
この場合、単にホスト鍵が変更されているので、エラーメッセージにあるよ
うに対象の known_hosts を更新する必要があります。
サーバ鍵の交換には、信用できる通信路を使用することを勧めます。鍵はサ
ーバ上の /etc/ssh/ssh_host_rsa_key.pub に置かれます。鍵のフィンガー
プリントは以下のコマンドで見ることができます。
ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub
ユーザ別の known_hosts ファイル以外に、システム全体で有効なホストフ
ァイル /etc/ssh/known_hosts が存在しているかもしれません。このファ
イルは ssh クライアントと sshd の両方で hosts.equiv 機能を提供するた
めに使われています。このファイルも同様に更新する必要があります。
3. Check all OpenSSH user keys
一番安全な手順は、欠陥のないシステムで作成された鍵だと強く確信できる
場合を除いて全ての OpenSSH 鍵を再作成することです。
鍵が安全かどうかは、この更新に含まれている ssh-vulnkey ツールでチ
ェックできます。既定では、ssh-vulnkey はユーザ鍵の標準の格納場所
(~/.ssh/id_rsa, ~/.ssh/id_dsa と ~/.ssh/identity) と、authorized_keys
ファイル (~/.ssh/authorized_keys と ~/.ssh/authorized_keys2)、およ
びシステムのホスト鍵 (/etc/ssh/ssh_host_dsa_key と
/etc/ssh/ssh_host_rsa_key) をチェックします。
自分の全ての鍵が標準の場所 (~/.ssh/id_rsa, ~/.ssh/id_dsa, または
~/.ssh/identity) に格納されている場合、それらをチェックするには以下
のコマンドを使います。
ssh-vulnkey
システムの全ての鍵をチェックするには
sudo ssh-vulnkey -a
非標準の場所での鍵をチェックするには
ssh-vulnkey /path/to/key
もし ssh-vulnkey が "Unknown (no blacklist information)" と答えた場
合、キーが脆弱かどうかの情報がないということです。この場合には、ファ
イルの修正時刻 (mtime) を ls -l を使って調べると良いでしょう。2006
9月以前に作成された鍵には欠陥はありません。可能性は低いですが、バッ
クアップ処理でファイルの日付が戻されているかもしてない、またはシステ
ム時刻の設定が正しくなかったかもしれない、などは頭に入れておいてくだ
さい。
疑わしい場合は、新しい鍵を作成して、全部のサーバから古い鍵を削除して
ください。
4. Regenerate any affected user keys
ユーザの個人認証に使用する OpenSSH 鍵は、手動で再生成する必要があり
ます。これは生成後に他のシステムに移動した鍵を含みます。
新しい鍵は ssh-keygen を使って作成します。
$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_rsa.
Your public key has been saved in /home/user/.ssh/id_rsa.pub.
The key fingerprint is:
00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 user@host
5. authorized_keys ファイルを更新する (必要に応じて実行)
ユーザキーを再作成した後、対応する公開鍵は必要なリモートシステムの
authorized_keys (または authorized_keys2) に配布する必要があります。
当該ファイルから古い鍵を削除することを忘れないようにしてください。
乱数の欠陥への対処のほかに、この OpenSSH の更新では幾つかのそれ以外の欠
陥も修正しています。
CVE-2008-1483:
Timo Juhani Lindfors さんにより、X11 フォワーディングを行っている場
合、SSH クライアントが X11 フォワーディングポートを、そのポートが全
てのアドレスファミリで用いられていることを確認せず利用していることが
発見されました。システムが IPv6 を用いるように設定されている場合 (有
効な IPv6 接続を持っていない場合でも)、リモートサーバ上の攻撃者が
X11 フォワーディングをハイジャック可能です。
CVE-2007-4752:
Jan Pechanec さんにより、ssh が信用できない X11 クッキーの作成に失敗
した場合に、信用された X11 クッキーを作成するようになっており、X11
フォワーディングを行っている場合に悪意を持ったリモートサーバにローカ
ルの表示情報が漏洩する可能性があることが発見されました。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ
ョン 4.3p2-9etch1. Currently, only a subset of all supported で修正され
ています。現時点ではサポートされているアーキテクチャの一部のみがビルド済
みで、残りは追って提供の予定です。
不安定版 (unstable) ディストリビューション (sid) とテスト版 (testing) デ
ィストリビューション (lenny) では、これらの問題はバージョン 4.7p1-9 で
修正されています。
直ぐに openssh パッケージをアップグレードし、上記の手順を行うことを勧め
ます。
アップグレード手順
------------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、
apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 4.0 alias etch
- -------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/o/openssh/openssh_4.3p2-9etch1.diff.gz
Size/MD5 checksum: 275168 920f559caa1c8c737b016c08df2bde05
http://security.debian.org/pool/updates/main/o/openssh-blacklist/openssh-blacklist_0.1.1.tar.gz
Size/MD5 checksum: 3694141 05eec6b473990bff4fc70921b232794b
http://security.debian.org/pool/updates/main/o/openssh/openssh_4.3p2-9etch1.dsc
Size/MD5 checksum: 1074 89930d72e9aff6b344efd35a130e4faa
http://security.debian.org/pool/updates/main/o/openssh-blacklist/openssh-blacklist_0.1.1.dsc
Size/MD5 checksum: 799 aeaa45e0bfbf7f966e3c7fca9181d99d
http://security.debian.org/pool/updates/main/o/openssh/openssh_4.3p2.orig.tar.gz
Size/MD5 checksum: 920186 239fc801443acaffd4c1f111948ee69c
アーキテクチャに依存しないパッケージ:
http://security.debian.org/pool/updates/main/o/openssh-blacklist/openssh-blacklist_0.1.1_all.deb
Size/MD5 checksum: 2121928 fa1ba22d98f91f18b326ee1bfd31bcbb
http://security.debian.org/pool/updates/main/o/openssh/ssh_4.3p2-9etch1_all.deb
Size/MD5 checksum: 1060 44ec3f52add1876d7b2c1bd3fa3cdbfd
http://security.debian.org/pool/updates/main/o/openssh/ssh-krb5_4.3p2-9etch1_all.deb
Size/MD5 checksum: 92162 9ae37916a6dc269318aff1215b6638cf
alpha architecture (DEC Alpha)
http://security.debian.org/pool/updates/main/o/openssh/openssh-client-udeb_4.3p2-9etch1_alpha.udeb
Size/MD5 checksum: 198496 69fe6fc4002ec592e1756cee28ffd85b
http://security.debian.org/pool/updates/main/o/openssh/openssh-client_4.3p2-9etch1_alpha.deb
Size/MD5 checksum: 782120 e5746f3c12a52f72b75cffee8e1c3a6f
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_4.3p2-9etch1_alpha.deb
Size/MD5 checksum: 100402 fda20ac6b68a6882534384e6ce4e6efd
http://security.debian.org/pool/updates/main/o/openssh/openssh-server-udeb_4.3p2-9etch1_alpha.udeb
Size/MD5 checksum: 213724 118390296bbf6d6d208d39a07895852e
http://security.debian.org/pool/updates/main/o/openssh/openssh-server_4.3p2-9etch1_alpha.deb
Size/MD5 checksum: 266518 be53eb9497ea993e0ae7db6a0a4dcd3a
amd64 architecture (AMD x86_64 (AMD64))
http://security.debian.org/pool/updates/main/o/openssh/openssh-server-udeb_4.3p2-9etch1_amd64.udeb
Size/MD5 checksum: 183848 bd6c4123fe0e72f7565e455b25eb037c
http://security.debian.org/pool/updates/main/o/openssh/openssh-server_4.3p2-9etch1_amd64.deb
Size/MD5 checksum: 244406 f70bf398d91eb4b8fe27cc5b03548b16
http://security.debian.org/pool/updates/main/o/openssh/openssh-client-udeb_4.3p2-9etch1_amd64.udeb
Size/MD5 checksum: 171512 0b8afcf2b96ad97323152342e83dd3bf
http://security.debian.org/pool/updates/main/o/openssh/openssh-client_4.3p2-9etch1_amd64.deb
Size/MD5 checksum: 709734 556332c58aeee82628d35ebf71d15ac1
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_4.3p2-9etch1_amd64.deb
Size/MD5 checksum: 99896 14d2f97314e7b4b6cb97540667d7f544
hppa architecture (HP PA RISC)
http://security.debian.org/pool/updates/main/o/openssh/openssh-client-udeb_4.3p2-9etch1_hppa.udeb
Size/MD5 checksum: 189608 5267dec18e00f3e88bd53b3adfe23e62
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_4.3p2-9etch1_hppa.deb
Size/MD5 checksum: 100438 2ebd2edd75c440c062eaafab5a97b177
http://security.debian.org/pool/updates/main/o/openssh/openssh-server_4.3p2-9etch1_hppa.deb
Size/MD5 checksum: 250556 1ca2aa080853748ab343381d9f9ffc6b
http://security.debian.org/pool/updates/main/o/openssh/openssh-server-udeb_4.3p2-9etch1_hppa.udeb
Size/MD5 checksum: 198424 d99af9d81fe074f9b16928cae835ce56
http://security.debian.org/pool/updates/main/o/openssh/openssh-client_4.3p2-9etch1_hppa.deb
Size/MD5 checksum: 733664 e6abc3231e7d274a5a73321ea3761974
i386 architecture (Intel ia32)
http://security.debian.org/pool/updates/main/o/openssh/openssh-client_4.3p2-9etch1_i386.deb
Size/MD5 checksum: 660432 16f0807e7871c23af0660e529837cb76
http://security.debian.org/pool/updates/main/o/openssh/openssh-server_4.3p2-9etch1_i386.deb
Size/MD5 checksum: 224178 aaedc883a11ba7273e5ddeb496a3488a
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_4.3p2-9etch1_i386.deb
Size/MD5 checksum: 100000 fd41f726ff14b7f8ab0dfc1c6b43be2c
http://security.debian.org/pool/updates/main/o/openssh/openssh-server-udeb_4.3p2-9etch1_i386.udeb
Size/MD5 checksum: 162630 f197dbdfe7a92bd4992d8c77c76b4488
http://security.debian.org/pool/updates/main/o/openssh/openssh-client-udeb_4.3p2-9etch1_i386.udeb
Size/MD5 checksum: 154028 5df04dc7c5474b30e515047740bd0c38
ia64 architecture (Intel ia64)
http://security.debian.org/pool/updates/main/o/openssh/openssh-server-udeb_4.3p2-9etch1_ia64.udeb
Size/MD5 checksum: 269868 1646034b7db5a862ea17d0d6928900ff
http://security.debian.org/pool/updates/main/o/openssh/openssh-client_4.3p2-9etch1_ia64.deb
Size/MD5 checksum: 961594 394027253cbaeba863f07e7fee848dcb
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_4.3p2-9etch1_ia64.deb
Size/MD5 checksum: 101280 f3e421145857106615ce19cb05508a7a
http://security.debian.org/pool/updates/main/o/openssh/openssh-client-udeb_4.3p2-9etch1_ia64.udeb
Size/MD5 checksum: 251840 24ba6fd53e10e754845fc4361257d0ff
http://security.debian.org/pool/updates/main/o/openssh/openssh-server_4.3p2-9etch1_ia64.deb
Size/MD5 checksum: 338256 4ff1206f8f3c618f7bfd406f88b38841
powerpc architecture (PowerPC)
http://security.debian.org/pool/updates/main/o/openssh/openssh-server_4.3p2-9etch1_powerpc.deb
Size/MD5 checksum: 237040 b50b3e1ac8586eb55a5f06201dd3edf2
http://security.debian.org/pool/updates/main/o/openssh/openssh-server-udeb_4.3p2-9etch1_powerpc.udeb
Size/MD5 checksum: 173322 f1fa458555b787a2b7fc786da7974b91
http://security.debian.org/pool/updates/main/o/openssh/openssh-client_4.3p2-9etch1_powerpc.deb
Size/MD5 checksum: 700518 fd43ca106400be36545f31b955667e22
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_4.3p2-9etch1_powerpc.deb
Size/MD5 checksum: 101080 a5005e3e3447f8eb75d99746a2704b8d
http://security.debian.org/pool/updates/main/o/openssh/openssh-client-udeb_4.3p2-9etch1_powerpc.udeb
Size/MD5 checksum: 168320 61848a42ed513d232fceea6eb335e315
sparc architecture (Sun SPARC/UltraSPARC)
http://security.debian.org/pool/updates/main/o/openssh/openssh-server_4.3p2-9etch1_sparc.deb
Size/MD5 checksum: 218132 ce7a2f44e51c2fe6df31ec567ce65d28
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_4.3p2-9etch1_sparc.deb
Size/MD5 checksum: 99544 61cd81c98576feea92fb865856311b7d
http://security.debian.org/pool/updates/main/o/openssh/openssh-client_4.3p2-9etch1_sparc.deb
Size/MD5 checksum: 639770 6085da0b96f1e9ee87abec7206eb7ef8
http://security.debian.org/pool/updates/main/o/openssh/openssh-server-udeb_4.3p2-9etch1_sparc.udeb
Size/MD5 checksum: 166706 99368689bddbc70f98ef5f51aa19051a
http://security.debian.org/pool/updates/main/o/openssh/openssh-client-udeb_4.3p2-9etch1_sparc.udeb
Size/MD5 checksum: 158360 07bf438d8e0d3fd02ff37371ff8645d6
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------