[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:01155] お知らせ◆Debian GNU/Linux 4.0(Etch)に含まれるOpenSSL/OpenSSHの脆弱性に関する注意喚起



お世話になっております。ORCAサポートセンタです。

Debian GNU/Linux 4.0(Etch)に含まれるOpenSSL/OpenSSHの脆弱性に
関する注意喚起です。

1.概要

 Debian GNU/Linux の openssl パッケージにて 2006/09/17 に追加された修正
 により、作成される秘密鍵が予測可能になる脆弱性を埋め込まれていました。
 結果として不正な第三者により公開鍵認証が回避される可能性があります。

   DSA-1571-1 openssl -- 予測可能な乱数の生成
   http://www.debian.org/security/2008/dsa-1571

   DSA-1576-1 openssh -- 予測可能な乱数生成器
   http://www.debian.org/security/2008/dsa-1576

   JPCERT: Debian GNU/Linux に含まれる OpenSSL/OpenSSH の脆弱性に関する注意喚起
   http://www.jpcert.or.jp/at/2008/at080008.txt

 OpenSSHでは公開鍵認証による鍵ペアを、脆弱性のある openssl ライブラリを
 利用して作成した場合にブルートフォース攻撃で不正アクセスを許してしまう
 可能性があります。

2.対象

 この問題は以下のシステムに影響があります。

   * Debian GNU/Linux 4.0(Etch)で新規インストールしたシステム
   * 以下の環境で作成したSSH鍵を利用しているシステム
     * Debian GNU/Linux 4.0(Etch), testing(Lenny), unstable(sid)
     * Ubuntu 7.04(Feisty), 7.10(Gutsy), 8.04 LTS(Hardy)
     * 及び Debian GNU/Linux からの派生ディストリビューション

 Debian GNU/Linux 3.1(Sarge)にはこの脆弱性はありません。

 鍵の脆弱性チェックは以下のツールで確認できます。
 詳しくは「4. 脆弱なSSH鍵のチェック方法」を参照ください。

   * dowkd.pl.gz
     http://security.debian.org/project/extra/dowkd/dowkd.pl.gz

3.対応策

 Debian GNU/Linux 4.0(Etch)のアップデートを行ってください。

    # aptitude update
    # aptitude upgrade
    # aptitude install openssh-client openssh-server

 2008年5月16日現在、Debian プロジェクトが配布している最新安定版の
 openssh パッケージのバージョンは 4.3p2-9etch1 です。

 最新の openssh-server パッケージをインストールすると
 openssh-blacklist が追加され、脆弱なユーザSSH鍵を利用するユーザは
 SSHログインを拒否されます。ご注意ください。

 詳しくはディストリビューション発行の警告を参照ください。

 ORCA Projectでは Debian GNU/Linux 3.1(Sarge)向けセキュリティアップデートパッ
 ケージの提供を行っていますが、当件についてはアナウンスのみでパッケージリリー
 スは行いません。
 			
 非常に危険性の高い脆弱性である事を留意し、早急な対応をお願いします。

4. 脆弱なSSH鍵のチェック方法

 以下にDebian GNU/Linux 4.0(Etch)でのSSH鍵のチェック方法を示します。

 (1) 鍵チェックスクリプトファイルのダウンロードと展開

       $ wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
       $ gunzip dowkd.pl.gz

 (2) dowkd.pl を使いローカルユーザの鍵をチェック

       $ perl dowkd.pl user

 (3) dowkd.plを使い登録されている鍵をチェック

    リモート保守などで使用しているユーザをremoteユーザとした場合

       $ perl dowkd.pl file /home/remote/.ssh/authorized_keys

    脆弱な鍵の場合は以下のように表示されます。

       $ perl dowkd.pl file /home/remote.ssh/authorized_keys
       /home/remote/.ssh/authorized_keys:1: weak key

    openssh パッケージのセキュリティアップデートを行った環境で ssh-kegen
    を行い新しい鍵を作りなおしてください。

 (4) ホスト鍵に脆弱性が無いかチェック

       $ perl dowkd.pl host localhost
       # localhost SSH-2.0-OpenSSH_4.7p1 Debian-8
       # localhost SSH-2.0-OpenSSH_4.7p1 Debian-8
       localhost: weak key
       localhost: weak key

    この場合、sshd が利用するホスト鍵が脆弱です。
    ホスト鍵を作りなおしてください。

以上よろしくお願いいたします。

--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358