Debian Projectにも参加している野首です。先日、Debian Projectを震撼させる出来事が発生しました。
オープンソースソフトウェア、あるいは一部の商用ソフトウェアでも利用されている、OpenSSLという暗号化ライブラリに、Debian開発者の当てたパッチが原因で予測可能な乱数を生成してしまう脆弱性が入り込んでしまいました。 暗号にとって乱数は非常に重要です。予測可能な乱数を使ってしまうと、それが暗号を破る手がかりとなってしまいます。 ライブラリの脆弱性なので影響範囲も大きく、OpenSSH, OpenVPN, DNSSECの鍵やX.509証明書などが影響を受けます。特にOpenSSHは非常に大きな問題です。
オリジナルのOpenSSLにはこのような問題はないので、今のところDebianとUbuntuがこの脆弱性についてのリリースを出しています。
Debian Projectは当然のことながらさまざまな開発インフラにDebianを利用しています。 そのため、ssh鍵の破棄作業が大量に発生しています。 sshやOpenVPNの鍵が問題のあるバージョンのOpenSSLで生成されたものかどうかを 確認するツールも用意されています。
dowkd.plは危険なデータ列をブラックリストとして保持しており、OpenSSHとOpenVPNの鍵に それらが含まれているかどうかで危険性の有無をチェックするツールです。今のところ、 ブラックリストは完全に網羅しているわけではないので、もしかするとこのツールでも チェック漏れが発生するかもしれません。
DebianやUbuntuのユーザの皆さんはお気をつけてください。私の個人的なblogでは、
OpenSSHのチェックと鍵の作り直し方法について具体的に説明
しています。そちらもご参考になれば幸いです。
Debian公式WikiのSSLkeys というページに関連するさまざまなパッケージと対処法が記録されています。 こちらのほうがより情報が詳しいです。
このページには技術的な解説もなされています。Debianのopensslメンテナが varglind(メモリリークを検出するツール)の出すエラーを減らす作業をしていて、 その過程で乱数生成ルーチンのバッファの取り扱いをあやまってしまったようです。 こういったツールはメモリの配置に影響を及ぼすので、このようなシリアスな場面では 過信しないことが重要だという教訓になりました。
日本Linux協会は、Linuxとそれをとりまく環境の公益のための活動を行い、中立
性の維持と開かれた運営と活動により、健全な発展に寄与することを目的とした
任意団体です。従来のユーザー団体という枠を超え、ベンダーやメーカーも含め
て「Linuxを利用するもの」として結集し、LinuxとLinux界の発展という共通目
標と相互の利益に向かって、包括的な活動を行っています。
ZDNet Japan ホスティング特集
DELL連載第4回 〜「Microsoft System Center」
Techno Exchange
ZDNet Japan Green IT
契約してわかった、iPhoneのさまざまな注意事項 
フォトレポート:USIMカードはどこに?--「iPhone」開封の儀 
iPhone 3G、発売前夜から祭りのあとまで 
