[ubuntu-jp:810] OpenSSH/OpenSSLの脆弱性への対応が必要です(USN-612)

[Jun Kobayashi]

小林です。

このメールの内容は、hitoさんにまとめて頂いたものを、私が内容を確認した上
で
送信しています。

Ubuntu（Debian）のOpenSSH/OpenSSLに、以下のような致命的な脆弱性が発見さ
れました。

この脆弱性は「Ubuntu 7.04〜8.10で生成されたOpenSSL関連の鍵ペア、ならびに
OpenSSHで利用する鍵ペア・ホスト鍵などにおいて、生成される鍵ペアが一定範
囲に収まるため、類推による偽造が可能である」というものです。これはDebian
の過去のセキュリティ対応におけるエンバグで、Debianならびに下流にあるディ
ストリビューションのみが影響を受けます。OpenSSL/OpenSSHそのものの脆弱性
ではありません。

脆弱なバージョンを利用して鍵を生成していた場合、パッケージアップデートの
上、鍵ペアの再生成が必要です。
  <http://security.debian.org/project/extra/dowkd/dowkd.pl.gz>
  <http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc>
を用いて脆弱な鍵を発見することができます。

OpenSSH・OpenSSLを利用しているユーザは対処が必要です。

・とくに、openssh-serverをインストールしている場合、7.04〜8.10でインス
トールしていた場合は　パッケージアップデートの上、必ず鍵ペアの再生成が必
要です。7.04よりも前、つまり6.10などの時点でopenssh-serverをインストール
し、アップグレードして利用している環境であれば影響はありません。
　openssh-serverを利用しているユーザは、まず以下のURLにあるパッケージ(も
しくは、より新しいもの)にアップデートしてください。
　http://www.ubuntu.com/usn/usn-612-2
　その上で、/etc/ssh/ssh_host* を別の場所に移動させ、
「sudo dpkg-reconfigure openssh-server」
を実行し、鍵ペアを再生成してください。再生成後、自動的にsshdが再起動しま
す。

・openssh-clientの場合は、ssh-keygenを用いた鍵ペアの生成を行っていなけれ
ば、基本的にはパッケージアップデートのみで問題ありません。ただし、相手先
となるサーバが脆弱な鍵を利用していた場合、known_hostsによる検証は接続先
の正当性を保証しません。dowkd.plツールを用いて、~/.ssh/known_hostsにある
既知のサーバの公開鍵を確認してください。

・問題のあるバージョンのOpenSSLを利用していた場合、生成した証明書には脆
弱な鍵が埋め込まれています。dowkd.plを用いて証明書を確認し、脆弱な場合は
以下のURLで示されたバージョン（もしくは、より新しいもの）にアップデート
し、鍵ペアを再生成（rekey）してください。
　http://www.ubuntu.com/usn/usn-612-2

この問題に関する一次情報として、USN-612-1, 612-2を参照してください。
http://www.ubuntu.com/usn

-- 
Jun Kobayashi
E-mail: jkbys at ubuntu.com
        jkbys at ubuntulinux.jp

-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: =?iso-2022-jp?Q?=1B$B$3$N%a%C%=3B!=3C%8$K=1B=28B?=
	=?iso-2022-jp?Q?=1B$B$O%G%8%=3F%k=3DpL=3E$5=1B=28B?=
	=?iso-2022-jp?Q?=1B$B$l$=3FItJ=2C$=2C$=22$j$^=1B=28B?=
	=?iso-2022-jp?Q?=1B$B$9=1B=28B?=
Url : https://lists.ubuntu.com/archives/ubuntu-jp/attachments/20080514/53e37bcc/attachment.pgp