BLOGTIMES
2008/05/19

DebianのOpenSSL脆弱性問題

  ssl 
このエントリーをはてなブックマークに追加

数日前に SourceForge.JP から「脆弱性があるSSH鍵を無効化したので、該当する場合にはサーバにログインできなくなっているので、SSH鍵を作り直してね」というメールが来ていましたが、かなり深刻な問題のようです。

Debian JP Project - OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等)

今回の問題は、OpenSSL の乱数生成部分について、Debian の OpenSSL パッケージのメンテナが Valgrind (C/C++ プログラムでのメモリリークなどの問題を見つけるデバッグツール) を使っていて見つけた問題を修正しようとして誤ったパッチを当ててしまった事が原因です。 これによって、乱数が使われずに暗号が非常に弱いものとなってしまう問題が発生しました。 なお、この問題は Debian だけに止まらず Debian をベースとしているディストリビューション (Ubuntu など)やシステムにも影響があります。また、Debian を使っていない場合でも、ユーザが問題のあるバージョンの Openssl パッケージが含まれた Debian で生成したクライアント鍵を使っている場合は影響を受けることになるので注意してください。

これを読むまでよく意味が分かっていなかったのですが、要は脆弱性のあるOpenSSLの環境で鍵を生成してしまうと、脆弱な鍵になってしまうので、DebianのOpenSSLをアップデートしただけでは解決できなくて、脆弱な鍵そのものを作り直す必要があるということですね。事の重大性をやっと理解できました。


    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/2572
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン