2008年5月18日

OpenSSL update

JPCERT: Debian GNU/Linux に含まれる OpenSSL/OpenSSH の脆弱性に関する注意喚起
IT Pro: DebianやUbuntuのセキュリティ機能に脆弱性、暗号鍵が予測可能に
apt-get upgradeでSSL関係を更新した後にも、opensshの更新がされていないようだったので、下記の流れ。

# apt-get upgrade
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています... 完了        
以下のパッケージは保留されます:
  openssh-client openssh-server
アップグレード: 0 個、新規インストール: 0 個、削除: 0 個、保留: 2 個。

# apt-get dist-upgrade
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています... 完了        
アップグレードパッケージを検出しています ... 完了
以下のパッケージが新たにインストールされます:
  openssh-blacklist
以下のパッケージはアップグレードされます:
  openssh-client openssh-server
アップグレード: 2 個、新規インストール: 1 個、削除: 0 個、保留: 0 個。
3006kB のアーカイブを取得する必要があります。
展開後に追加で 4096kB のディスク容量が消費されます。
続行しますか [Y/n]? 
取得:1 http://security.debian.org etch/updates/main openssh-blacklist 0.1.1 [2122kB]
取得:2 http://security.debian.org etch/updates/main openssh-server 1:4.3p2-9etch2 [224kB]
取得:3 http://security.debian.org etch/updates/main openssh-client 1:4.3p2-9etch2 [660kB]
3006kB を 6s で取得しました (433kB/s)                                          
パッケージを事前設定しています ...
未選択パッケージ openssh-blacklist を選択しています。
(データベースを読み込んでいます ... 現在 21862 個のファイルとディレクトリがインストールされています。)
(.../openssh-blacklist_0.1.1_all.deb から) openssh-blacklist を展開しています...
openssh-server 1:4.3p2-9 を (.../openssh-server_1%3a4.3p2-9etch2_i386.deb で) 置換するための準備をしています ...
openssh-server を展開し、置換しています...
openssh-client 1:4.3p2-9 を (.../openssh-client_1%3a4.3p2-9etch2_i386.deb で) 置換するための準備をしています ...
openssh-client を展開し、置換しています...
openssh-blacklist (0.1.1) を設定しています ...
openssh-client (4.3p2-9etch2) を設定しています ...

openssh-server (4.3p2-9etch2) を設定しています ...
Creating SSH2 RSA key; this may take some time ...
Creating SSH2 DSA key; this may take some time ...
Restarting OpenBSD Secure Shell server: sshd.

鍵を更新した後に繋ぎにいくと、下記の様に怒られ(?)る。

$ ssh hoge.luky.org
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
xx:yy:zz:00:11:22:33:44:55:66:77:88:99:aa:bb:cc.
Please contact your system administrator.
Add correct host key in /home/shibata/.ssh/known_hosts to get rid of this message.
Offending key in /home/shibata/.ssh/known_hosts:123
RSA host key for hoge.luky.org has changed and you have requested strict checking.
Host key verification failed.
怒られたってことは、書き換わったということか。 投稿者 his : 2008年5月18日 21:29
このエントリーのトラックバックURL: http://hoop.euqset.org/blog/mt-tb2006.cgi/73250
コメント

追記。
http://www.jpcert.or.jp/at/2008/at080008.txt
もしっかり読んで、
http://www.debian.or.jp/blog//openssl_problem_qanda.html
でリンクされている「 Debian OpenSSL Weak Key Detector (dowkd)」で
チェックした方が良さそうです。

Posted by: his : 2008年5月25日 11:13
コメントする









名前、アドレスを登録しますか?





画像の中に見える文字を入力してください。