過去の Debian 固有の OpenSSL への誤った修正により、この修正のあとに OpenSSL で作られた鍵(ssh のホスト鍵など)を再生成しないといけないようです。
- [debian-users:50517] 【注意喚起】 Openssl 脆弱性に伴う ssh 鍵、ssl 証明書などの問題について
- [debian-users:50514] [Translate] [SECURITY] [DSA 1571-1] New openssl packages fix predictable random number generator
- Debian Security Advisory DSA-1571-1 openssl -- predictable random number generator
Debian セキュリティ勧告 DSA-1571-1 openssl -- 予測可能な乱数の生成
Debian システムで、バージョン 0.9.8c-1 以降の OpenSSL で作成された、暗号鍵に関するデータは捨てて作り直す必要があります。さらに、影響を受ける Debian システムで、署名や本人認証の目的で使われた全ての DSA 鍵は脆弱であると考えてください。デジタル署名アルゴリズムは、署名生成時の秘密の乱数の値に依存しているからです。
この欠陥を持つ最初のバージョンは 0.9.8c-1 で、不安定版に 2006-09-17 にアップロードされており、その後テスト版 (testing) や安定版 (etch) に流れています。旧安定版 (sarge) には影響はありません。
去年の暮れ気紛れに SSH のホストキーを作り直したので、たぶん影響を受けてるんだろうな‥‥。
titania:/etc/ssh# ls -alF 合計 168 drwxr-xr-x 2 root root 4096 2007-11-18 23:03 ./ drwxr-xr-x 73 root root 4096 2008-05-14 15:14 ../ -rw-r--r-- 1 root root 132777 2007-03-06 01:38 moduli -rw-r--r-- 1 root root 1424 2007-03-06 01:38 ssh_config -rw------- 1 root root 672 2007-11-18 22:55 ssh_host_dsa_key -rw-r--r-- 1 root root 602 2007-11-18 22:55 ssh_host_dsa_key.pub -rw------- 1 root root 883 2007-11-18 22:55 ssh_host_rsa_key -rw-r--r-- 1 root root 222 2007-11-18 22:55 ssh_host_rsa_key.pub -rw-r--r-- 1 root root 1871 2007-11-18 23:03 sshd_config titania:/etc/ssh# tar cvzf ssh_old_keys.tar.gz ssh_host_* ssh_host_dsa_key ssh_host_dsa_key.pub ssh_host_rsa_key ssh_host_rsa_key.pub titania:/etc/ssh# chmod go= ssh_old_keys.tar.gz titania:/etc/ssh# rm ssh_host_* titania:/etc/ssh# dpkg-reconfigure openssh-server Creating SSH2 RSA key; this may take some time ... Creating SSH2 DSA key; this may take some time ... Restarting OpenBSD Secure Shell server: sshd.
あとはクライアント側で known_hosts やそれに類する情報を修正して完了。
追記@Mon May 19 16:39:01 2008
Open Tech Press | セキュリティ警報:多数のシステムに影響を及ぼすDebian OpenSSLの不具合が発覚
0 件のコメント:
コメントを投稿