Debian etchのopenssl, opensshの脆弱性に関するまとめ
昨日にも書きましたが,Debian etchのopensslとopensshの脆弱性報告がありました.
これについてDebian セキュリティ勧告が出ています.
http://www.debian.org/security/2008/dsa-1571
http://www.debian.org/security/2008/dsa-1576
該当期間に鍵を作っている人は,再生成をする必要があります
手順は以下にあります
http://www.debian.org/security/key-rollover/#ssl-cert
Verisignでの再申請は以下の通り
http://www.verisign.co.jp/server/help/faq/190060/index.html
自分の鍵が脆弱であるかどうかはいかにあるchksslkeyというスクリプトで確認できます
http://wiki.debian.org/SSLkeys
hoge1,hoge2,hoge3: probably fine
hoge-gw: weak
こんな感じにホストで使っている証明書が脆弱かどうかのチェックを確認できます.
技術的な対応として早急に検討したほうがいいことは
問題に関するさらなる情報は下記のURLをみるといいでしょう
http://lists.debian.or.jp/debian-users/200805/msg00063.html
http://www.jpcert.or.jp/at/2008/at080008.txt
そして,早速以下のような脆弱性に対する攻撃ツールが出ています
http://seclists.org/fulldisclosure/2008/May/0410.html
早急な対応をしたほうが良いでしょう.
まとめっぽいものが以下の様な形で出てました
- Debian OpenSSL パッケージの脆弱性に起因する他OS/ディストリビューションにおける注意
IDとパスワードを求められる場合はセキュリティホールmemoのMLポリシーのところを参照すべし
追記:ここもgood
http://d.hatena.ne.jp/next49/20080516