パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Debianのopensslパッケージに欠陥発覚」記事へのコメント

  • なぜ? (スコア:2, 興味深い)

    by Anonymous Coward
    なぜ Debian のパッケージだけこんな問題が起きたのか
    説明がないのでさっぱり。

    で、チェックするスクリプト(及び鍵)
    http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
    http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc
    やらを紹介されているが、どう使ってどういう結果が出れば
    NG なのか説明がないのでさっぱり。

    対象マシンで
    % ./dowkd.pl user
    と実行したけど、何も表示されなかったから OK ってこと?

    さっぱりだ。
    • Re: (スコア:5, 参考になる)

      by Anonymous Coward
      • by Anonymous Coward
        あれ?aptでアップデートして今4.3p2-9etch1なんですが
        ssh-vulnkeyもopenssh-blacklistへの依存も、README.compromised-key.gzも
        含まれてないです。
        • by Anonymous Coward
          openssh-server が上がってない/入ってない気がします。

          $ dpkg -l | grep openssh
          ii openssh-blacklist 0.1.1 list of blacklisted OpenSSH RSA and DSA keys
          ii openssh-client 4.3p2-9etch1 Secure shell client, an rlogin/rsh/rcp repla
          ii openssh-server 4.3p2-9etch1 Secure shell server, an rshd replacement

          ssh-vulnkey は openssh-server パッケージに入ってます。
          • etch で確認しましたが openssh-client パッケージに入っていると思いますよ。

            $ dpkg -L openssh-client
            /.
            /usr
            /usr/lib
            /usr/lib/openssh
            /usr/lib/openssh/ssh-keysign
            /usr/bin
            /usr/bin/ssh-copy-id
            /usr/bin/ssh
            /usr/bin/ssh-agent
            /usr/bin/scp
            /usr/bin/ssh-keyscan
            /usr/bin/ssh-argv0
            /usr/bin/ssh-add
            /usr/bin/sftp
            /usr/bin/ssh-keygen
            /usr/bin/ssh-vulnkey
            /usr/share
            /usr/share/doc
            /usr/share/doc/openssh-client
            /usr/share/doc/openssh-client/changelog.Debian.gz
            /usr/share/doc/openssh-client/README.compromised-keys.gz
            /usr/share/doc/openssh-clie
            • by Anonymous Coward
              すみません。
              openssh-cilent,openssh-serverのほうは
              4.3p2-9etch1ではなく、4.3p2-9のままでした。
              (sshパッケージは4.3p2-9etch1だったのですが)
              玄箱proでarmなので
              http://packages.debian.org/ja/etch/openssh-client
              を見る限り、まだ用意されてないということなんでしょうか。
              • 恐らく該当のアーキテクチャについては、まだbuildが完了していないのだと思われます。
                通常であれば、buildd のログを見て確認できるのですが、security アップデートだと通常とは違う経路で build されているかもしれません。
                http://security.debian.org/pool/updates/main/o/openssh/ も見ましたが、パッケージが存在していないですね。
                確認すべき場合は、debian-arm@lists.debian.org か debian-security@lists.debian.org に投げてみると良いかと。

                #もし、必要でしたら聞いてみるぐらいは明日してみますよ。
              • 現在、mips 以外は ok です。
                親コメント
              • by Anonymous Coward
                ありがとうございます。
                4.3p2-9etch2へのアップデートを
                確認いたしました。

                すみませんお騒がせしました。
              • >すみませんお騒がせしました。

                とんでもないです、むしろ状況を教えていただけて情報がシェアできるのでありがたいです(arm マシンを使って無いので当方では全く気づいていませんでした)。感謝します。

                親コメント

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...