[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:50533] Re: 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について

From: YOSHIFUJI Hideaki / 吉藤英明 <yoshfuji@xxxxxxxxxxxxxx>
Subject: [debian-users:50533] Re: 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について
Date: Sun, 18 May 2008 00:57:34 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
Organization: USAGI Project
X-face: "5$Al-.M>NJ%a'@hhZdQm:."qn~PA^gq4o*>iCFToq*bAi#4FRtx}enhuQKz7fNqQz\BYU] $~O_5m-9'}MIs`XGwIEscw;e5b>n"B_?j/AkL~i/MEa<!5P`&C$@oP>ZBLP
X-fingerprint: 9022 65EB 1ECF 3AD1 0BDF 80D8 4807 F894 E062 0EEA
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-pgp-key-url: http://www.yoshifuji.org/%7Ehideaki/hideaki@xxxxxxxxxxxxxxxxx
X-spam-checker-version: SpamAssassin 3.1.7-deb (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-1.0 required=10.0 tests=AWL,KI, SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb
X-url: http://www.yoshifuji.org/%7Ehideaki/
References: <f82a151e0805132020k7593de77nb1f48472a9a80f7@xxxxxxxxxxxxxx> <6827c8970805170805k12b6a489te7460dfa83b764c5@xxxxxxxxxxxxxx>
Message-id: <20080518.005756.105193048.yoshfuji@xxxxxxxxxxxxxx>
X-mail-count: 50533
X-mailer: Mew version 3.3 on Emacs 20.7 / Mule 4.1 (AOI)

吉藤です。

17日の東京エリアDebian勉強会でも話題沸騰でしたが...

In article <6827c8970805170805k12b6a489te7460dfa83b764c5@xxxxxxxxxxxxxx> (at Sun, 18 May 2008 00:05:44 +0900), fubabz <fubabz@xxxxxxxxx> says:

> DSA-1576-1によるとopensshアップグレード時に、SSHサーバ鍵は確認後自動更新されるとありますが（実際当方サイトでもそうなりました）、以下も必要なのでしょうか？

いいえ。少し古い情報だと思います。
心配なら、手動で鍵のチェックをするとよいかと思います。

> 2008/5/14 Hideki Yamane <henrich@debian.or.jp>:
> > 参考までに、当方では以下のような形で ssh サーバの鍵を作り直しました
> 
> > ~$ cd /etc/ssh/
> > /etc/ssh$ sudo mkdir vulnerablekeys_dir
> > /etc/ssh$ sudo mv ssh_host_*key* vulnerablekeys_dir/ (古い鍵を移動）
> > /etc/ssh$ sudo dpkg-reconfigure openssh-server　(新しい鍵を生成）
> >
> > これで ssh サーバ側の対処は終わりです。

これは、もうちょっと正確には、サーバ側の"鍵の"対処です。

一方、ssh接続に公開鍵方式を用いた認証を行っている場合、
***サーバ側がDebianであるかに拘らず****、脆弱な公開鍵が
登録されていないか(典型的には全てのユーザの ~/.ssh/authorized_keys に
あります)を確認し、該当する鍵を削除する、といった対応が必要です。

この危険性は、乱暴にいえば、passwordが、あるべき姿よりはるかに
高い確率でばれてしまっている、ということに相当します。
特に、あるサーバにssh接続を許されているユーザ名が推測可能な場合、
非常に危険です。

--yoshfuji

Follow-Ups:
- [debian-users:50537] Re: 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について
  - From: fubabz
- [debian-users:50538] Re: 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について
  - From: Hideki Yamane

References:
- [debian-users:50517] 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について
  - From: Hideki Yamane
- [debian-users:50532] Re: 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について
  - From: fubabz

Prev by Date: [debian-users:50532] Re: 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について
Next by Date: [debian-users:50534] [Translate] [SECURITY] [DSA 1579-1] New netpbm-free packages fix arbitrary code
Previous by thread: [debian-users:50532] Re: 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について
Next by thread: [debian-users:50537] Re: 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について
Index(es):
- Date
- Thread