ksaitoの日記

日々試したことの覚え書き

debianのopensslとopensshに脆弱性

Debianのセキュリティー勧告によると、DebianUbuntuなどの派生ディストリビューションでopensslパッケージの不具合によりopensshのssh-keygenで生成した鍵の作り直しが必要になるようです。
openssh-clientの最新版には、脆弱性を持つ鍵を調べるssh-vulnkeyコマンドが追加されています。

パッケージをアップグレード

$ sudo aptitude install openssh-blacklist
$ sudo aptitude upgrade openssh-server openssh-client

自分の鍵を調べる

ssh-vulnkeyコマンドを実行した結果でCOMPROMISEDと表示されているキーは、脆弱性のある鍵ということになります。

$ ssh-vulnkey
COMPROMISED: 2048 [フィンガープリント] ~/.ssh/id_rsa.pub
Not blacklisted: 2048 [フィンガープリント] user@server
COMPROMISED: 2048 [フィンガープリント] user@server
$

対策の実施

id_rsa.pubと表示されていたものは、自分が生成した鍵なのでssh-keygenで再作成します。
それ以外は、~/.ssh/authorized_keysや~/.ssh/authorized_keys2に登録されている公開鍵なので削除します。
再度、ssh-vulnkeyコマンドを実行してCOMPROMISEDを消す必要があります。
再作成した鍵や~/ssh/authorized_keys?に登録されていた鍵は、必要に応じて再配布が必要です。