DebianのOpenSSL問題
5/14のDebian-Usersメーリングリストで周知されていましたがDebian系列LinuxのOpenSSLパッケージに、推測可能な乱数を生成する問題が発見されたらしい。
対象はetch以降のDebianだが、該当マシンで作られた鍵は世界中に配布されている可能性があるわけなので、脆弱性のあるマシンは世界中に散らばったともいえるじゃないだろうか。SSH鍵認証への攻撃ツールはすでにあるらしいのでかなり危険。
Debian愛好家は(私も含めて)結構いるはずなので、インターネット上の今年の10大ニュースになりうるほどの問題だよ・・・。
(当然だが)最悪なことにSSL証明書にも被害は及ぶわけ、で無料で再取得してくれるベンダーもあるがベリサインは再取得しろとかかれているだけ。まぁベリサインの落ち度ではないけどね・・・
DebianユーザだけではなくSSL/SSHユーザはちゃんとチェックした方がいいでしょう。
| 固定リンク
コメント