ようこそゲストさん

特に重要なセキュリティ欠陥・ウイルス情報

2008/05/16(金) Debian / ubuntu の OpenSSL パッケージに重大な欠陥

Linux

Debian GNU/Linux の OpenSSL パッケージに重大な欠陥が発見されました。乱数生成器に重大な欠陥があり、生成される乱数を容易に予測できてしまいます。このため攻撃者は SSL や SSH で使用される公開鍵暗号の鍵を容易に予測でき、結果として、本物のサーバになりすましたり、SSH の公開鍵認証を総当り攻撃で突破したりできます。

欠陥があるのは、Debian 4.0 (etch) で使用されている openssl パッケージ 0.9.8c-1 以降です。openssl 0.9.8c-4etch3 で修正されています。ubuntu 7.04~8.04 や Knoppix 5.1 以降など Debian GNU/Linux に基づくディストリビューションにも同じ問題があります。

  • Knoppix
    • 開発元からの情報はありませんが、Knoppix 5.1 以降にこの欠陥が存在すると思われます。

対応手順は次のとおりです。

  • 修正版のパッケージをインストールする。詳細は上記リンクを参照。
  • 脆弱な鍵が存在する場合は、鍵を再生成する。

SSH については、鍵を検査するためのユーティリティ dowkd.pl が用意されています。また SSL 証明書については、ubuntu の openssl-blacklist パッケージを使えば、欠陥を含む鍵を表示できます。

Debian や ubuntu を使用している場合は、早急に対応してください。


名前:  非公開コメント   

  • TB-URL(確認後に公開)  https://www.st.ryukoku.ac.jp/blog/vuln/046/tb/