[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:50517] 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について
- From: "Hideki Yamane" <henrich@debian.or.jp>
- Subject: [debian-users:50517] 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について
- Date: Wed, 14 May 2008 12:20:59 +0900
- Content-disposition: inline
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from:sender:to:subject:mime-version:content-type:content-transfer-encoding:content-disposition:x-google-sender-auth; bh=VXMyHUwOnLSSZhYqxzQmiiIa7Z0BvAynPCAFF3OoREw=; b=fK+m0Uh+/9VL0J/MGG0/ycLxukK4Kvgdq0OJv9dMMFWvLJ+jvMaQe9/6/QKtD5nQs/4Ml/gqbUulgfmY0wLRAMTOqn7n97yexZ8ezmrpX8UFD2ch83tDQnpe6HSCBRs71XSQDNFAJBhSBn/9r14gGFstjXGCa6CjIv0NoZNmUfY=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:sender:to:subject:mime-version:content-type:content-transfer-encoding:content-disposition:x-google-sender-auth; b=wPoDviJB5aM+JqxHp/2P8d1Z8dszoPK51R26xzj3dLsF7dwaXCURU9fxCLodjQwuhHkARxFoTqz90fdoQiQKZWNCxNS0yAe9XVRzOFzzr5RDtMx0IiH5fvSAhP0Vwn8oGC2yhwfgACEGKcxYBi+bpg5l9tkhoYvf43Ggv0JolNc=
- List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
- List-id: debian-users.debian.or.jp
- List-owner: <mailto:debian-users-admin@debian.or.jp>
- List-post: <mailto:debian-users@debian.or.jp>
- List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
- List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
- X-google-sender-auth: 4335b510e17b92b8
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
- X-ml-name: debian-users
- X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
- X-sender: henrich@xxxxxxxxx
- X-spam-checker-version: SpamAssassin 3.1.7-deb (2006-10-05) on osdn.debian.or.jp
- X-spam-level:
- X-spam-status: No, score=-0.9 required=10.0 tests=KI,SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb
- Message-id: <f82a151e0805132020k7593de77nb1f48472a9a80f7@xxxxxxxxxxxxxx>
- X-mail-count: 50517
やまねです。ちょっと時間が取れてないので簡単にだけ。
OpenSSL の脆弱性によって、脆弱な鍵が生成されている問題があります。
ssh でリモート管理しているようなサーバについては、問題があるかどうかを
確認して、即時修正の必要があります。また、SSL 証明書についても、一旦
破棄して再度申請するなどが必要かと思われます。
今回の問題の特徴は
「パッケージのアップグレードだけでは問題が修正されない」
問い雨天にあります。
問題の背景について、詳しくは先にかねこさんが流してくださった DSA 訳を
参照してください。
参考までに、当方では以下のような形で ssh サーバの鍵を作り直しました
~$ sudo aptitude update && sudo aptitude safe-upgrade (まず、openssl を更新)
~$ cd /etc/ssh/
/etc/ssh$ sudo mkdir vulnerablekeys_dir
/etc/ssh$ sudo mv ssh_host_*key* vulnerablekeys_dir/ (古い鍵を移動)
/etc/ssh$ sudo dpkg-reconfigure openssh-server (新しい鍵を生成)
これで ssh サーバ側の対処は終わりです。
クライアント側は各自鍵を作り直すのと、known_hosts に書かれているサーバ行
を修正する必要があります。エディタで直すと間違いやすいので、ssh-keygen -R <servername>
などとして該当のホスト行を削除すると良いかと思います。
--
Hideki Yamane