最悪です。debianにとんでもないセキュリティホールが見つかりました。2006年以降に設定した debian マシンは単純な総当たり攻撃でクラックされる可能性があります。
この大惨事は、2006-09-17 に debian の openssl にバグが混入してしまったことに始まります。このバグにより、debianのopensslは、恐ろしく弱い暗号鍵を生成するようになってしまったのです。
その結果、2006年以降にセットアップした debian マシンでは、openssl を使うアプリケーションが、
- 通信の盗聴
- 成りすまし
の危険に晒されることになりました。影響を受けるサービス/アプリケーションを列挙すると、
- openssh (both server and user keys)
- OpenVPN
- DNSSEC
- key material for X.509
- encfs
- Tor
- postfix, exim4, sendmail and other MTAs when using SSL/TLS
- cyrus imapd
- courier imap/pop3
- dovecot with imaps/pops support
- apache2 (ssl certs)
- dropbear
- cfengine
- puppet
- xrdp
- tinc
- vsftpd SSL certificates for FTPS
- proftpd SSL/TLS certificates for FTPS
となります。ssh と apache が入っているので、大抵のサーバは、鍵や証明書を再生成するはめになりました。最悪です。
この際、先日リリースされた fedora 9 に乗り換えた方がいいかもしれません。というのは冗談ですが、debian 使いの人は、詳細を http://wiki.debian.org/SSLkeys で確認しましょう。
