2008年5月14日水曜日

ubuntuのSSHに脆弱性

Debianの過去のパッチによるバグの影響でDebian系、つまりubuntuにも重大な脆弱性が発見されました。
この脆弱性は、opensshによる鍵の生成で予測可能な鍵ペアが生成されてしまうというもので、辞書攻撃によって侵入されるリスクが大変大きいものとなっています。

さっそく
wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc
gpg --keyserver subkeys.pgp.net --recv-keys 02D524BE
gpg --verify dowkd.pl.gz.asc
gunzip dowkd.pl.gz
としてチェックツールをダウンロードし、鍵の検査。
./dowkd.pl host localhost
及び、
./dowkd.pl user ユーザ名
として、weak key と表示されたら鍵を作り直しましょう。
その前にopenssh系パッケージのアップデートも忘れずに。

詳しくはURL参照。



20080515:追記:


  • その後のアップデートでopenssh-blacklistパッケージが追加されました。
    脆弱な鍵は自動的に拒絶されるようになりました。出来る範囲で。
  • ssh-vulnkey コマンドが追加されました。
    このコマンドで鍵の脆弱性を確かめることが出来ます。
    sudo ssh-vulnkey -a
    とすればすべての鍵を検査してくれます。
  • 参照
    http://www.debian.org/security/2008/dsa-1576

0 件のコメント: