Debianのセキュリティー勧告によると、DebianとUbuntuなどの派生ディストリビューションでopensslパッケージの不具合によりopensshのssh-keygenで生成した鍵の作り直しが必要になるようです。
openssh-clientの最新版には、脆弱性を持つ鍵を調べるssh-vulnkeyコマンドが追加されています。
パッケージをアップグレード
$ sudo aptitude install openssh-blacklist
$ sudo aptitude upgrade openssh-server openssh-client
自分の鍵を調べる
ssh-vulnkeyコマンドを実行した結果でCOMPROMISEDと表示されているキーは、脆弱性のある鍵ということになります。
$ ssh-vulnkey
COMPROMISED: 2048 [フィンガープリント] ~/.ssh/id_rsa.pub
Not blacklisted: 2048 [フィンガープリント] user@server
COMPROMISED: 2048 [フィンガープリント] user@server
$
対策の実施
id_rsa.pubと表示されていたものは、自分が生成した鍵なのでssh-keygenで再作成します。
それ以外は、~/.ssh/authorized_keysや~/.ssh/authorized_keys2に登録されている公開鍵なので削除します。
再度、ssh-vulnkeyコマンドを実行してCOMPROMISEDを消す必要があります。
再作成した鍵や~/ssh/authorized_keys?に登録されていた鍵は、必要に応じて再配布が必要です。
