DebianのOpenSSL脆弱性問題

数日前に SourceForge.JP から「脆弱性があるSSH鍵を無効化したので、該当する場合にはサーバにログインできなくなっているので、SSH鍵を作り直してね」というメールが来ていましたが、かなり深刻な問題のようです。

Debian JP Project - OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等）

今回の問題は、OpenSSL の乱数生成部分について、Debian の OpenSSL パッケージのメンテナが Valgrind (C/C++ プログラムでのメモリリークなどの問題を見つけるデバッグツール) を使っていて見つけた問題を修正しようとして誤ったパッチを当ててしまった事が原因です。 これによって、乱数が使われずに暗号が非常に弱いものとなってしまう問題が発生しました。 なお、この問題は Debian だけに止まらず Debian をベースとしているディストリビューション (Ubuntu など）やシステムにも影響があります。また、Debian を使っていない場合でも、ユーザが問題のあるバージョンの Openssl パッケージが含まれた Debian で生成したクライアント鍵を使っている場合は影響を受けることになるので注意してください。

これを読むまでよく意味が分かっていなかったのですが、要は脆弱性のあるOpenSSLの環境で鍵を生成してしまうと、脆弱な鍵になってしまうので、DebianのOpenSSLをアップデートしただけでは解決できなくて、脆弱な鍵そのものを作り直す必要があるということですね。事の重大性をやっと理解できました。