Debianのopensslにセキュリティ上の問題が...

Debianなんだから、apt-get でopensslを更新すればいいのかなと思っていたら、そんなに簡単な問題ではなかった。乱数を使うべきときに使われないようになっていたらしいのだが、その影響で、このパッケージを使った暗号が極めて弱いものになってしまったとのこと。具体的には、SSHやOpenVPNの公開鍵暗号用の鍵ペアなどが「総あたり攻撃」で解読可能なものになっていたという。
実運用にDebianを使っていなくても、とにかく「Debianで生成した鍵を使っていたらアウト」なので、影響範囲を特定するのがまず大変な課題になりそうだ。会社など、サーバーをせっかくRedHatで運用していても、ユーザーが自身の鍵生成にDebianを使っていたとしたら、そのサーバーが危険な状態になってしまう。
サーバー管理の仕事をしている人は今日一日大変なことになりそうだ。

ちなみにGnuPGはopensslのライブラリを使用していないので、この脆弱性の影響を受けない。

問題とその対策について詳しくは
http://www.debian.or.jp/blog/openssl_package_and_its_vulnerability.html

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

この記事へのトラックバック