debian がエライことになっています。

最悪です。debianにとんでもないセキュリティホールが見つかりました。2006年以降に設定した debian マシンは単純な総当たり攻撃でクラックされる可能性があります。


この大惨事は、2006-09-17 に debian の openssl にバグが混入してしまったことに始まります。このバグにより、debianのopensslは、恐ろしく弱い暗号鍵を生成するようになってしまったのです。

その結果、2006年以降にセットアップした debian マシンでは、openssl を使うアプリケーションが、

  • 通信の盗聴
  • 成りすまし

の危険に晒されることになりました。影響を受けるサービス/アプリケーションを列挙すると、

  • openssh (both server and user keys)
  • OpenVPN
  • DNSSEC
  • key material for X.509
  • encfs
  • Tor
  • postfix, exim4, sendmail and other MTAs when using SSL/TLS
  • cyrus imapd
  • courier imap/pop3
  • dovecot with imaps/pops support
  • apache2 (ssl certs)
  • dropbear
  • cfengine
  • puppet
  • xrdp
  • tinc
  • vsftpd SSL certificates for FTPS
  • proftpd SSL/TLS certificates for FTPS

となります。sshapache が入っているので、大抵のサーバは、鍵や証明書を再生成するはめになりました。最悪です。

この際、先日リリースされた fedora 9 に乗り換えた方がいいかもしれません。というのは冗談ですが、debian 使いの人は、詳細を http://wiki.debian.org/SSLkeys で確認しましょう。