[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Debian JP master SVN www commits (rev.659)

From: Debian JP webadmin <webadmin@debian.or.jp>
Subject: Debian JP master SVN www commits (rev.659)
Date: Fri, 16 May 2008 09:01:10 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.5 required=10.0 tests=ALL_TRUSTED,AWL,KI autolearn=disabled version=3.1.7-deb
Message-id: <20080516000109.D1214C2DAF@osdn.debian.or.jp>
X-mail-count: 12515
User-agent: amn svn commit mailer 0.1

=======================================================
Repository: /org/svn.debian.or.jp/repos
  Revision: 659
  Commiter: henrich
      Date: 2008-05-16 09:01:09 +0900 (金, 16  5月 2008)
=======================================================
Log:

 - exploit is released ! :-(
 - it affects non-Debian systems 


=======================================================
Changed:

U   www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d

Modified: www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d
===================================================================
--- www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d	2008-05-15 23:31:20 UTC (rev 658)
+++ www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d	2008-05-16 00:01:09 UTC (rev 659)
@@ -9,11 +9,12 @@
 を使っていて見つけた問題を修正しようとして誤ったパッチを当ててしまった事が原因です。
 これによって、乱数が使われずに暗号が非常に弱いものとなってしまう問題が発生しました。
 なお、この問題は Debian だけに止まらず Debian をベースとしているディストリビューション 
-(Ubuntu など）やシステムにも影響があります。</p>
+(Ubuntu など）やシステムにも影響があります。また、<strong>Debian を使っていない場合でも、ユーザが問題のあるバージョンの Openssl パッケージが含まれた Debian で生成したクライアント鍵を使っている場合は影響を受けることになるので注意してください</strong>。</p>
 <p>
 端的に影響を言うと、SSH サーバでパスワード認証ではなく鍵認証を利用している場合、
 通常であれば鍵が無ければまずログインできないわけですが、乱数が推測可能な範囲になっているため、
-総当たり攻撃によってログインされてしまう…などの影響が考えられます。</p>
+総当たり攻撃によってログインされてしまう…などの影響が考えられます。
+<strong>既に攻撃ツールはリリースされ、広く既知の状態となっています</strong>ので早めに対応ください。</p>
 <p>
 今回の件について、簡単な要約をすると以下になります (詳しくは最新の openssh-client 
 パッケージに含まれるドキュメント /usr/share/doc/openssh-client/README.compromised-keys.gz

Prev by Date: Debian JP master SVN www commits (rev.658)
Next by Date: Call for Translation: security/key-rollover/index
Previous by thread: Debian JP master SVN www commits (rev.658)
Next by thread: Call for Translation: security/key-rollover/index
Index(es):
- Date
- Thread