[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Debian JP master SVN www commits (rev.661)
=======================================================
Repository: /org/svn.debian.or.jp/repos
Revision: 661
Commiter: henrich
Date: 2008-05-17 14:21:14 +0900 (土, 17 5月 2008)
=======================================================
Log:
- use "dist-upgrade", not upgrade.
- openssh package for mips arch has been not built yet...
- key rollover page update
=======================================================
Changed:
U www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d
Modified: www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d
===================================================================
--- www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d 2008-05-16 11:24:53 UTC (rev 660)
+++ www/trunk/blosxom/data/openssl_package_and_its_vulnerability.d 2008-05-17 05:21:14 UTC (rev 661)
@@ -25,14 +25,14 @@
<dd>
<ol>
<li><strong>Sarge までの Debian で生成したSSH鍵は今回の問題の影響を受けません</strong>。
-<li><strong>パッケージのアップデート (openssl, openssh-server) を実施</strong>してください。<br>
+<li><strong>パッケージ (openssl, openssh-server) のアップデートを実施 (dist-upgrade)</strong>してください。<br>
OpenSSH サーバパッケージについては、<a href="http://www.debian.org/security/2008/dsa-1576">最新の更新
(DSA-1576)</a>で今回の対応としてホスト鍵を作り直すようになっています
(ssh を通じて rsync などを運用している方は鍵の変更によって接続がエラーになりますので注意してください)。
詳しくは <a href="http://lists.debian.or.jp/debian-users/200805/msg00069.html">debian-users
メーリングリストでの訳を参照ください</a>。<br>
また、openssh-blacklist パッケージが出来て server パッケージはこれに依存するようになっており、
-<strong>明らかに脆弱なキーについては接続を拒否をするようになっています</strong>。
+<strong>明らかに脆弱なキーについては接続を拒否をするようになっています</strong>。このため、通常の upgrade では更新が反映されず、 dist-upgrade とする必要があります。</li>
<li>OpenSSH の <strong>known_hosts ファイルを更新</strong><br>
パッケージを更新後、ssh クライアントの known_hosts ファイル (~/.ssh/known_hosts)
に登録されているホスト鍵と上記で更新されたサーバのホスト鍵が異なるので警告が出て繋がらないようになります。
@@ -59,21 +59,33 @@
<li>他のシステムで使われている証明書がある場合は、新たに生成した証明書で置き換えてください。</ol></dd>
<dt>その他パッケージについて</dt>
-<dd><p>以下についても更新が必要となると思われます。</p>
+<dd><p>以下についても更新が必要となると思われます。必要に応じて
+<a href="http://www.debian.org/security/key-rollover/">Key Rollover</a> や
+<a href="http://wiki.debian.org/SSLkeys">Debian Wiki の SSLkeys ページ</a>を確認してください。</p>
<ul>
<li>OpenVPN
<li>cyrus imapd, courier imap/pop3
<li>Apache2 SSL
<li>dovecot, postfix, exim4 (サービスのリスタートが必要)
-<li>OpenSWAN / StrongSWAN</ul></dd>
+<li>OpenSWAN / StrongSWAN
+<li>puppet
+<li>ssl-cert
+<li>dropbear
+<li>ftpd-ssl
+<li>boxbackup
+<li>tinc
+<li>tor
+<li>xrdp
+<li>telnetd-ssl
+</ul></dd>
</dl>
<p>
今後の対応として以下のページを参照ください。一部ページは状況に応じて更新予定です。</p>
<ul>
<li><a href="http://www.debian.org/security/2008/dsa-1571">DSA-1571-1 openssl -- 予測可能な乱数の生成</a>
-<li><a href="http://www.debian.org/security/2008/dsa-1576">DSA-1576-1 openssh -- 予測可能な乱数の生成</a>
+<li><a href="http://www.debian.org/security/2008/dsa-1576">DSA-1576-1 openssh -- 予測可能な乱数の生成</a> (パッケージはさらに更新されています。5/17 14:00 現在、1:4.3p2-9etch2 が最新バージョンですが、mips アーキテクチャは現在パッケージの生成が追いついていません)
<li><a href="http://wiki.debian.org/SSLkeys">Debian Wiki の SSLkeys ページ</a> (適宜更新されています)
-<li><a href="http://www.debian.org/security/key-rollover/">Key Rollover</a> (5/15 7:20 現在、OpenSSH, OpenSWAN / StrongSWAN について情報が掲載されています。)</ul>
+<li><a href="http://www.debian.org/security/key-rollover/">Key Rollover</a> (5/17 14:00 現在、OpenSSH, OpenSWAN / StrongSWAN、boxbackup、dropbear、ftpd-ssl、gforge、MIT Kerberos (krb5)、OpenVPN、puppet、ssl-cert、telnetd-ssl、tinc、tor、xrdp について情報が掲載されています。適宜訳は更新されますが、最新情報を確認したい場合は<a href="http://www.debian.org/security/key-rollover/index.en.html">原文</a>を参照してください)</ul>