この脆弱性は、opensshによる鍵の生成で予測可能な鍵ペアが生成されてしまうというもので、辞書攻撃によって侵入されるリスクが大変大きいものとなっています。
さっそく
としてチェックツールをダウンロードし、鍵の検査。wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc
gpg --keyserver subkeys.pgp.net --recv-keys 02D524BE
gpg --verify dowkd.pl.gz.asc
gunzip dowkd.pl.gz
./dowkd.pl host localhost及び、
./dowkd.pl user ユーザ名として、weak key と表示されたら鍵を作り直しましょう。
その前にopenssh系パッケージのアップデートも忘れずに。
詳しくはURL参照。
- http://forum.ubuntulinux.jp/viewtopic.php?id=2029&action=new
- http://lists.debian.or.jp/debian-users/200805/msg00063.html
- http://www.daionet.gr.jp/~knok/diary/?200805b&to=200805141#200805141
- http://wiki.debian.org/SSLkeys
- http://www.ubuntugeek.com/important-openssl-openssh-vulnerabilities-and-fix-instructions.html
20080515:追記:
- その後のアップデートでopenssh-blacklistパッケージが追加されました。
脆弱な鍵は自動的に拒絶されるようになりました。出来る範囲で。 - ssh-vulnkey コマンドが追加されました。
このコマンドで鍵の脆弱性を確かめることが出来ます。sudo ssh-vulnkey -a
とすればすべての鍵を検査してくれます。 - 参照
http://www.debian.org/security/2008/dsa-1576
0 件のコメント:
コメントを投稿