2008年5月19日月曜日

OpenSSL update


JPCERT: Debian GNU/Linux に含まれる OpenSSL/OpenSSH の脆弱性に関する注意喚起


IT Pro: DebianやUbuntuのセキュリティ機能に脆弱性、暗号鍵が予測可能に

apt-get upgradeでSSL関係を更新した後にも、opensshの更新がされていないようだったので、下記の流れ。


# apt-get upgrade
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています... 完了
以下のパッケージは保留されます:
openssh-client openssh-server
アップグレード: 0 個、新規インストール: 0 個、削除: 0 個、保留: 2 個。

# apt-get dist-upgrade
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています... 完了
アップグレードパッケージを検出しています ... 完了
以下のパッケージが新たにインストールされます:
openssh-blacklist
以下のパッケージはアップグレードされます:
openssh-client openssh-server
アップグレード: 2 個、新規インストール: 1 個、削除: 0 個、保留: 0 個。
3006kB のアーカイブを取得する必要があります。
展開後に追加で 4096kB のディスク容量が消費されます。
続行しますか [Y/n]?
取得:1 http://security.debian.org etch/updates/main openssh-blacklist 0.1.1 [2122kB]
取得:2 http://security.debian.org etch/updates/main openssh-server 1:4.3p2-9etch2 [224kB]
取得:3 http://security.debian.org etch/updates/main openssh-client 1:4.3p2-9etch2 [660kB]
3006kB を 6s で取得しました (433kB/s)
パッケージを事前設定しています ...
未選択パッケージ openssh-blacklist を選択しています。
(データベースを読み込んでいます ... 現在 21862 個のファイルとディレクトリがインストールされています。)
(.../openssh-blacklist_0.1.1_all.deb から) openssh-blacklist を展開しています...
openssh-server 1:4.3p2-9 を (.../openssh-server_1%3a4.3p2-9etch2_i386.deb で) 置換するための準備をしています ...
openssh-server を展開し、置換しています...
openssh-client 1:4.3p2-9 を (.../openssh-client_1%3a4.3p2-9etch2_i386.deb で) 置換するための準備をしています ...
openssh-client を展開し、置換しています...
openssh-blacklist (0.1.1) を設定しています ...
openssh-client (4.3p2-9etch2) を設定しています ...

openssh-server (4.3p2-9etch2) を設定しています ...
Creating SSH2 RSA key; this may take some time ...
Creating SSH2 DSA key; this may take some time ...
Restarting OpenBSD Secure Shell server: sshd.




鍵を更新した後に繋ぎにいくと、下記の様に怒られ(?)る。


$ ssh hoge.luky.org
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
xx:yy:zz:00:11:22:33:44:55:66:77:88:99:aa:bb:cc.
Please contact your system administrator.
Add correct host key in /home/shibata/.ssh/known_hosts to get rid of this message.
Offending key in /home/shibata/.ssh/known_hosts:123
RSA host key for hoge.luky.org has changed and you have requested strict checking.
Host key verification failed.

怒られたってことは、書き換わったということか。

1 件のコメント:

  1. 追記。
    http://www.jpcert.or.jp/at/2008/at080008.txt
    もしっかり読んで、
    http://www.debian.or.jp/blog//openssl_problem_qanda.html
    でリンクされている「 Debian OpenSSL Weak Key Detector (dowkd)」で
    チェックした方が良さそうです。

    返信削除