[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Debian JP master SVN www commits (rev.666)

=======================================================
Repository: /org/svn.debian.or.jp/repos
  Revision: 666
  Commiter: henrich
      Date: 2008-05-19 21:53:33 +0900 (月, 19  5月 2008)
=======================================================
Log:

 - add Q&A for non-Debian users, Sarge users and more.


=======================================================
Changed:

A   www/trunk/blosxom/data/openssl_problem_qanda.d

Added: www/trunk/blosxom/data/openssl_problem_qanda.d
===================================================================
--- www/trunk/blosxom/data/openssl_problem_qanda.d	                        (rev 0)
+++ www/trunk/blosxom/data/openssl_problem_qanda.d	2008-05-19 12:53:33 UTC (rev 666)
@@ -0,0 +1,42 @@
+OpenSSL パッケージの脆弱性と脆弱なパッケージを含まない他の環境への影響について(Q & A)
+
+<p>
+既に幾つかのメディアで取り上げていただいていたり、ユーザ間でも話題になっているこの問題ですが、誤解を招かないよう注意が必要な点が幾つかあります。以下の問答を参考に誤解をしていないかどうか確認をお願い致します。</p>
+
+<dl>
+<dt><strong>Q: 影響は Debian だけ?<strong><br>
+「Debian とその派生ディストリビューションが影響を受けるだけなんでしょ?私は(*BSD / 他のディストリビューション)を使ってるから関係ないですね。</dt>
+<dd>
+<p>
+<strong>A: いいえ、残念ながらそうではありません。</strong></p>
+<p>
+今回の問題は欠陥があるバージョンの OpenSSL パッケージを使って<strong>作られた鍵/証明書が脆弱である</strong>というところにあります。例えば運用しているサーバが Red Hat Enterprise Linux だったとして、ユーザの ~/.ssh/authorized_keys に該当の欠陥がある状態で作られた鍵が登録されていたら、その Red Hat Enterprise Linux に不正なアクセスが容易な状態にあることになります(例に上げた Red Hat Enterprise Linux は CentOS でも Fedora でも FreeBSD でも他のものでも置き換えて考えてください)。</p></dd>
+
+<dt>Q: 自分のところは Sarge を運用しているので全く平気ですよね!</dt>
+<dd>
+<p>
+<strong>A: いいえ、残念ながらそうではありません。</strong></p>
+<p>
+例えば、脆弱性のあるバージョンの OpenSSL を含んだ環境でユーザが SSH 鍵を作成していて、それを authorized_keys に登録した場合を想像してください…その Sarge を運用しているホストへの侵入は容易な状態となっています。<strong>Etch であれば更新された openssh-server と既知の脆弱な鍵リストである openssh-blacklist によってその様な鍵を使った場合に接続が拒否されますが、Sarge はセキュリティサポートが終了しているためにこの様な危険な状態からは保護されません</strong>。</p></dd>
+
+<dt>Q: では、どうやって私のサーバが影響があるのかを確認すれば良いのですか?</dt>
+<dd>
+<p>
+<strong>A: <a href="http://security.debian.org/project/extra/dowkd/dowkd.pl.gz";>Debian OpenSSL Weak Key Detector (dowkd)</a> を利用してください。</strong>
+</p>
+<p>
+これは perl で書かれたスクリプトで、OS / ディストリビューションを問わずに実行できます。実行前のファイルの正当性の確認には <a href="http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc";>OpenPGP 署名</a>を確認してください。なお、このスクリプトは随時更新されていますので、適宜チェックしてください。</p>
+</dd>
+
+<dt>Q:SSL の証明書も問題になるのですか?確認の仕方が知りたいのですが</dt>
+<dd>
+<p>
+<strong>A: これも、<a href="http://security.debian.org/project/extra/dowkd/dowkd.pl.gz";>Debian OpenSSL Weak Key Detector (dowkd)</a> を利用してください</strong>。PEM ファイルのチェックが行えます。</p>
+
+<dt>Q:SSL の証明書の再発行は費用が発生するので行いたくないのですが…</dt>
+<dd>
+<p>
+<strong>A: 残念ながら OpenSSL パッケージに該当の脆弱性があった期間に作られたものは、再度申請などして作り直しが必要になります。</strong>
+<p>
+ベンダによっては今回の場合について
+<a href="http://www.cybertrust.ne.jp/info/2008/080519.html";>SSLサーバ証明書の残存期間の無償再発行を行う</a>などとしているところがありますので、詳しくは各ベンダに対応について問い合わせてください。(もし、無償で対応可能な例が上記以外でありましたら追記したいと思いますので、<a href="http://www.debian.or.jp/community/ml/openml.html#wwwML";>お教えください</a>。</p>