Tuesday, May 20, 2008

Debian etch の bind9 パッケージに含まれる db.root ファイルは古い

昨年末のことなので、まさかと思っていたら‥‥

$ cat /etc/bind/db.root | grep 'L\.'
.                       518400  IN      NS      L.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET.     3600000 IN      A       198.32.64.12
$ dpkg -c /var/cache/apt/archives/bind9_1%3a9.3.4-2etch1_i386.deb \
> | grep 'db\.root'
-rw-r--r-- root/root      1507 2007-07-25 07:13 ./etc/bind/db.root

うへ。

アップデートされたパッケージが出るかも知れないですが、とりあえず自分で書き換えておくのが良さそうです。

追記@Tue May 20 23:20:49 2008

# dig ns . @m.root-servers.net > /etc/bind/db.root
# /etc/init.d/bind9 restart
Stopping domain name service...: bind.
Starting domain name service...: bind.

乱暴だけど、こんな感じで。

追記@Fri Jul 11 13:22:05 2008

先日アップデートされた bind9_9.3.4-2etch3 にはこの件の修正が含まれています。

The updated bind9 packages contain changes originally scheduled for the next stable point release, including the changed IP address of L.ROOT-SERVERS.NET (Debian bug #449148).

Saturday, May 17, 2008

ActivePerl 5.10.0 Build 1003 released

ActivePerl 5.10.0 Build 1003 が出た。

ASPN に載ってるドキュメントはまだ Build 1002 のままだけど、標準構成に含まれる Perl モジュールが増えてたり、Win32 系モジュールの PPM 構成が大幅に変わったりしている。release notes, ActivePerl 5.10 Change Log

インストール時や PPM パッケージインストール後に ap-update-html の中で、ActivePerl::DocTools::Pod の pod2html で rename が失敗して HTML ドキュメントの生成が不完全になる問題は健在です。
Windows XP SP3 + NTFS(SATA AHCI, Intel ICH7 接続)で確認。

いちおうバグリポート出してあるけど、再現しないのかなあ。相手にされていない感じです。

Wednesday, May 14, 2008

Debian の ssh ホスト鍵を再生成

過去の Debian 固有の OpenSSL への誤った修正により、この修正のあとに OpenSSL で作られた鍵(ssh のホスト鍵など)を再生成しないといけないようです。

Debian セキュリティ勧告 DSA-1571-1 openssl -- 予測可能な乱数の生成

Debian システムで、バージョン 0.9.8c-1 以降の OpenSSL で作成された、暗号鍵に関するデータは捨てて作り直す必要があります。さらに、影響を受ける Debian システムで、署名や本人認証の目的で使われた全ての DSA 鍵は脆弱であると考えてください。デジタル署名アルゴリズムは、署名生成時の秘密の乱数の値に依存しているからです。

この欠陥を持つ最初のバージョンは 0.9.8c-1 で、不安定版に 2006-09-17 にアップロードされており、その後テスト版 (testing) や安定版 (etch) に流れています。旧安定版 (sarge) には影響はありません。

去年の暮れ気紛れに SSH のホストキーを作り直したので、たぶん影響を受けてるんだろうな‥‥。

titania:/etc/ssh# ls -alF
合計 168
drwxr-xr-x  2 root root   4096 2007-11-18 23:03 ./
drwxr-xr-x 73 root root   4096 2008-05-14 15:14 ../
-rw-r--r--  1 root root 132777 2007-03-06 01:38 moduli
-rw-r--r--  1 root root   1424 2007-03-06 01:38 ssh_config
-rw-------  1 root root    672 2007-11-18 22:55 ssh_host_dsa_key
-rw-r--r--  1 root root    602 2007-11-18 22:55 ssh_host_dsa_key.pub
-rw-------  1 root root    883 2007-11-18 22:55 ssh_host_rsa_key
-rw-r--r--  1 root root    222 2007-11-18 22:55 ssh_host_rsa_key.pub
-rw-r--r--  1 root root   1871 2007-11-18 23:03 sshd_config
titania:/etc/ssh# tar cvzf ssh_old_keys.tar.gz ssh_host_*
ssh_host_dsa_key
ssh_host_dsa_key.pub
ssh_host_rsa_key
ssh_host_rsa_key.pub
titania:/etc/ssh# chmod go= ssh_old_keys.tar.gz
titania:/etc/ssh# rm ssh_host_*
titania:/etc/ssh# dpkg-reconfigure openssh-server
Creating SSH2 RSA key; this may take some time ...
Creating SSH2 DSA key; this may take some time ...
Restarting OpenBSD Secure Shell server: sshd.

あとはクライアント側で known_hosts やそれに類する情報を修正して完了。

追記@Mon May 19 16:39:01 2008

Open Tech Press | セキュリティ警報:多数のシステムに影響を及ぼすDebian OpenSSLの不具合が発覚