DSA-1571やDSA-1576にて、opensslとopensshの脆弱性によるアップデートが出ました。これによって、DebianやUbuntuなどのDebian関連ディストリビューションでは、アップデートが必要となります。また、影響を受けるのはEtch/Lenny/Sid環境で作成した鍵についてで、Sarge以前に作成された鍵による影響はありません。
今回注意する点としては、sshのホスト鍵についてはアップデートの際に自動的に更新されますが、ユーザ鍵についてはアップデート後に自分でssh-vulnkeyコマンドを使って鍵の脆弱性をチェックした上で、脆弱であった場合はssh-keygenコマンドにて鍵を再生成する必要があるという点です。
また、sshのアップデートを適用した場合は脆弱なユーザ鍵を使っている場合は自動的に接続が拒絶されるとのことなので、遠隔のサーバ類のアップデートを行う前に、手元のユーザ鍵が脆弱なものではないかチェックし、必要に応じてユーザ鍵の再生成、遠隔のサーバへの登録、接続確認を行っておくようにしましょう。
詳細は、下記のリンクを参照してください。
DSA-1571-1 openssl -- 予測可能な乱数の生成 http://www.debian.org/security/2008/dsa-1571 DSA-1576-1 openssh -- 予測可能な乱数生成器 http://www.debian.org/security/2008/dsa-1576 Debian Wiki - SSLkeys http://wiki.debian.org/SSLkeys OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等) http://www.debian.or.jp/blog//openssl_package_and_its_vulnerability.html Ubuntu日本語フォーラム - OpenSSH/OpenSSLの脆弱性への対応が必要です(USN-612) http://forum.ubuntulinux.jp/viewtopic.php?id=2029 Debian OpenSSL Predictable PRNG Toys http://metasploit.com/users/hdm/tools/debian-openssl/
上記のopensshのアップデートの際に --------------------------------------------------------------- 1.手元のユーザ鍵が脆弱性のあるバージョンのままで 2.リモート側マシンをsshの鍵認証のみに設定しており 3.リモート側マシンのopensshパッケージをアップデートしてログアウトした場合 --------------------------------------------------------------- ...現地作業をしなければ繋げられなくなります。 これは、リモート側マシンのopensshパッケージがアップデートされたことにより 脆弱性のあるユーザ鍵でのログインが自動的に拒否されることによるものです。 (もちろん、別の鍵を登録していたりパスワード認証とかを残していれば なんとかなるんですが...セキュリティ高めるために不可にしてるケースが多いでしょね?) ということで、リモートメンテだとこんな手順かな... --------------------------------------------------------------- 1.手元の鍵(脆弱性あり)のバックアップを念のため取っておく 2.手元の鍵を新規に作成する 3.scpで新しい鍵(公開鍵)を遠隔マシンにコピー 4.リモート先のマシンにログイン 5.openssh/opensslパッケージ等をアップデート&脆弱性のチェック 6.~/.ssh/authorized_keysのエントリを編集(新しい鍵のみに) 7.sshでつないだまま、別のターミナルで新しい鍵でログインできることを確認 --------------------------------------------------------------- 教訓 :手元の鍵を更新してリモート鯖に登録した上で、アップデート作業を行うべし