パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Debianのopensslパッケージに欠陥発覚」記事へのコメント

  • by Anonymous Coward on 2008年05月16日 9時18分 (#1344997)
    sshの公開鍵認証によってユーザをログインさせる設定を使っているサーバは、NetBSDだろうがSolarisだろうが脆弱な鍵をもらっている可能性があることを強調しないと、まずいと思うのですが....
    • by Henrich (121) on 2008年05月16日 10時12分 (#1345017)
      ありがとう、その旨を記載 [debian.or.jp]しました。
      (朝出る前に急ぎで書いたので、ちょっとわかりづらい表現になってしまっているかも。改善案求む)

      親コメント
      • by Anonymous Coward
        お役に立ててうれしいです。いつも使うばっかりですみません > Debianの中の人たち
        # 自分の鍵はsarge時代のだったけどAC
    • by Anonymous Coward
      よく分からないのでツッコミを
      ・パスワード認証しか使っていなかった場合はとくに影響は受けない。
      とりあえずアップデートしておく
      ・結局、アカウント名とパスワードがバレない限り大丈夫。
      ただし、バグありの場合、公開鍵認証を使ったなりすましは防げない
      アップデート、鍵の作り直し
      • by Anonymous Coward

        バグありの場合、公開鍵認証を使ったなりすましは防げない
        ん?何がバグありの場合?サーバ?クライアント?
        元の文脈ではサーバがバグなしでも問題があるよって話なので、脆弱な公開鍵がサーバに 登録されていると、そのアカウントになりすまされて侵入されちゃうよってことでOK?

        SSHのこと分かっていないのでこれが一般的なしくみか分からないのですが、DebianのSSHサーバは 脆弱な鍵のブラックリストを持っていて今回問題になった脆弱なユーザ鍵でアクセスしようとしても 拒否するようになったようです。
        他のOS用にも用意してくれよぅ... 今回authorized_keysを全チェックしても、将来ユーザが脆弱な 鍵を登録する危険性を排除できないわけで。

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

処理中...