▼ 2008/05/16(金) Debian / ubuntu の OpenSSL パッケージに重大な欠陥
【Linux】
Debian GNU/Linux の OpenSSL パッケージに重大な欠陥が発見されました。乱数生成器に重大な欠陥があり、生成される乱数を容易に予測できてしまいます。このため攻撃者は SSL や SSH で使用される公開鍵暗号の鍵を容易に予測でき、結果として、本物のサーバになりすましたり、SSH の公開鍵認証を総当り攻撃で突破したりできます。
欠陥があるのは、Debian 4.0 (etch) で使用されている openssl パッケージ 0.9.8c-1 以降です。openssl 0.9.8c-4etch3 で修正されています。ubuntu 7.04~8.04 や Knoppix 5.1 以降など Debian GNU/Linux に基づくディストリビューションにも同じ問題があります。
- Debian GNU/Linux
- ubuntu
- Knoppix
- 開発元からの情報はありませんが、Knoppix 5.1 以降にこの欠陥が存在すると思われます。
対応手順は次のとおりです。
- 修正版のパッケージをインストールする。詳細は上記リンクを参照。
- 脆弱な鍵が存在する場合は、鍵を再生成する。
SSH については、鍵を検査するためのユーティリティ dowkd.pl が用意されています。また SSL 証明書については、ubuntu の openssl-blacklist パッケージを使えば、欠陥を含む鍵を表示できます。
Debian や ubuntu を使用している場合は、早急に対応してください。
- TB-URL(確認後に公開) http://133.83.35.83/blog/adiary.cgi/vuln/046/tb/