[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Debian JP master SVN www commits (rev.653)



=======================================================
Repository: /org/svn.debian.or.jp/repos
  Revision: 653
  Commiter: henrich
      Date: 2008-05-15 00:10:26 +0900 (木, 15  5月 2008)
=======================================================
Log:

 - add information about openssl and its vuln issue.
   please add/fix article if you want.


=======================================================
Changed:

A   www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d

Added: www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d
===================================================================
--- www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d	                        (rev 0)
+++ www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d	2008-05-14 15:10:26 UTC (rev 653)
@@ -0,0 +1,72 @@
+OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等)
+<p>
+残念な事に Debian の <a href="http://www.debian.org/security/2008/dsa-1571";>OpenSSL 
+パッケージに脆弱性が見つかりました</a>。見つかった問題は既に修正されていますが、
+今回の問題はパッケージの更新だけで済ませられないものとなっています。</p>
+<p>
+今回の問題は、OpenSSL の乱数生成部分について、Debian の OpenSSL パッケージのメンテナが 
+Valgrind (C/C++ プログラムでのメモリリークなどの問題を見つけるデバッグツール) 
+を使っていて見つけた問題を修正しようとして誤ったパッチを当ててしまった事が原因です。
+これによって、乱数が使われずに暗号が非常に弱いものとなってしまう問題が発生しました。
+なお、この問題は Debian だけに止まらず Debian をベースとしているディストリビューション 
+(Ubuntu など)やシステムにも影響があります。</p>
+
+<p>
+今回の件について、簡単な要約をすると以下になります (詳しくは最新の openssh-client 
+パッケージに含まれるドキュメント /usr/share/doc/openssh-client/README.compromised-keys.gz 
+を参照していただくことをお勧め致します)。</p>
+<dl>
+
+<dt>SSH クライアント/サーバについて</dt>
+<dd>
+<ol>
+<li>Sarge までの Debian で生成したSSH鍵は今回の問題の影響を受けません。
+<li>パッケージのアップデート (openssl, openssh-server) を実施してください。<br>
+OpenSSH サーバパッケージについては、<a href="http://www.debian.org/security/2008/dsa-1576";>最新の更新 
+(DSA-1576)</a>で今回の対応としてホスト鍵を作り直すようになっています 
+(ssh を通じて rsync などを運用している方は鍵の変更によって接続がエラーになりますので注意してください)。
+詳しくは <a href="http://lists.debian.or.jp/debian-users/200805/msg00069.html";>debian-users 
+メーリングリストでの訳を参照ください</a>。
+<li>OpenSSH の known_hosts ファイルを更新<br>
+パッケージを更新後、ssh クライアントの known_hosts ファイル (~/.ssh/known_hosts) 
+に登録されているホスト鍵と上記で更新されたサーバのホスト鍵が異なるので警告が出て繋がらないようになります。
+クライアントの known_hosts から該当のホストを削除してください (ssh-keygen -R <hostname> コマンドで削除)。
+<li>OpenSSH のクライアント鍵更新<br>
+上記の更新に伴って、OpenSSH クライアントパッケージに確認用のツール (ssh-vulnkey) 
+が含まれました。各自のクライアント鍵が影響を受けるかどうかをチェックしてください。
+デフォルトの鍵ファイル名を使っている場合は "sudo ssh-vulnkey -a" 
+で確認が出来ますし、違う鍵ファイル名の場合は "ssh-vulnkey /path/to/key" 
+という形で確認が可能です。
+<li>影響を受けるクライアント鍵を更新<br>
+SSH クライアント鍵については、各ユーザで作成をしなおす必要があります。
+ssh-keygen コマンドを使って再生成してください。
+<li>サーバに登録してあるクライアント鍵情報の更新 (authorized_keys ファイル)<br>
+必要な場合となる場合は、リモートで接続する先の authorized_keys 
+から脆弱な公開鍵情報を取り除いて、新たに生成した公開鍵の情報を登録してください。</ol></dd>
+
+<dt>SSL 証明書について</dt>
+<dd>
+<ol>
+<li>Sarge までの Debian で生成したSSL証明書は今回の問題の影響を受けません。
+<li>パッケージのアップデート (openssl) を実施してください。
+<li>利用しているサーバ/クライアント証明書を再生成してください。
+<li>他のシステムで使われている証明書がある場合は、新たに生成した証明書で置き換えてください。</ol></dd>
+
+<dt>その他パッケージについて</dt>
+<dd><p>以下についても更新が必要となると思われます。</p>
+<ul>
+<li>OpenVPN
+<li>cyrus imapd, courier imap/pop3
+<li>Apache2 SSL
+<li>dovecot, postfix, exim4 (サービスのリスタートが必要)</ul></dd>
+</dl>
+
+<p>
+今後の対応として以下のページを参照ください。一部ページは状況に応じて更新予定です。</p>
+<ul>
+<li><a href="http://www.debian.org/security/2008/dsa-1571";>DSA-1571-1 openssl -- 予測可能な乱数の生成</a>
+<li><a href="http://www.debian.org/security/2008/dsa-1576";>DSA-1576-1 openssh -- 予測可能な乱数の生成</a>
+<li><a href="http://wiki.debian.org/SSLkeys";>Debian Wiki の SSLkeys ページ</a> (適宜更新されています)
+<li><a href="http://www.debian.org/security/key-rollover/";>Key Rollover</a> (5/15 23:30 現在、まだ情報は掲載されていません)</ul>
+
+