アカウント名:
パスワード:
OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等) [debian.or.jp]の方を見るが吉。
sargeで生成した鍵は問題ない
Sarge までの Debian で生成したSSH鍵は今回の問題の影響を受けません
「Sargeおよびそれ以前のバージョンで生成された鍵は問題ありません」でいいのかな
見つけたバグをちゃんと本家にフィードバックしていれば
ほれ。 [mail-archive.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
なぜ? (スコア:2, 興味深い)
説明がないのでさっぱり。
で、チェックするスクリプト(及び鍵)
http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc
やらを紹介されているが、どう使ってどういう結果が出れば
NG なのか説明がないのでさっぱり。
対象マシンで
% ./dowkd.pl user
と実行したけど、何も表示されなかったから OK ってこと?
さっぱりだ。
Re:なぜ? (スコア:5, 参考になる)
OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等) [debian.or.jp]の方を見るが吉。
ナイス・フォロー (スコア:1, おもしろおかしい)
> Sarge までの Debian で生成したSSL証明書は今回の問題の影響を受けません。
なんだ、大丈夫だった。
マテ、いつまで同じ鍵を使ってるんだ俺。
Re: (スコア:0)
Re:ナイス・フォロー (スコア:1)
Re: (スコア:0)
sargeで生成した鍵は問題ないってことでしょ。
Re:ナイス・フォロー (スコア:2, 参考になる)
もっとも、鍵長や重要度によっては、鍵更新を検討した方がいいって場合もあるでしょうけど。
境界条件 (スコア:0)
は、「Sargeおよびそれ以前のバージョンで生成された鍵は問題ありません」でいいのかな
SargeはいいけどEtchはダメと
Re: (スコア:0, オフトピック)
cf. 「以上」「以下」「より大」「より小」
Re:境界条件 (スコア:1, すばらしい洞察)
とは限らない、あるいは絶対に間違いや取り違いや勘違いが起きないようにしたい [google.com]からこそ「冗長にする」のでは
特に数字以外のものに以上や以下が使われるときは、境界値の扱いは書き手も受け手もかなり適当なことがある
Re: (スコア:0)
> cf. 「以上」「以下」「より大」「より小」
「以外」もですかね
Re:なぜ? (スコア:1, すばらしい洞察)
その段階でパッチの誤りが発覚したかもしれないのにねぇ
バグフィックスのつもりでエンバグした挙げ句に
フィードバックもしないとは、酷すぎるな
Re:なぜ? (スコア:1, 参考になる)
ほれ。 [mail-archive.com]
Re:なぜ? (スコア:1)
それは酷すぎる!!
Best regards, でぃーすけ
assert 消す奴も (スコア:1)
「あんたのせいでバグが増えた、テストもできん」
って怒られた。assert() でチェックせずにテストに回して
あれこれ謎の不具合が見つかるほうが非効率的だと思うのだが。
そして俺の assert() タンはコメントアウトされた。
#ぜってーおかしいって、その assert() が通らんのは
屍体メモ [windy.cx]
Re:assert 消す奴も (スコア:1)
> あれこれ謎の不具合が見つかるほうが非効率的だと思うのだが。
確かに。
assert()は自動で行う「テスト」ですよね。想像ですが本件は、単体試験を行わずに結合試験やるようなものですね。
Best regards, でぃーすけ
Writing Solid Code (スコア:1)
自分なりに assert って大事だよな、って肌で感じてましたけど、
大学生のときに Writing Solid Code [amazon.co.jp] って本を読んで、
改めて assert の大切さを認識しました。
やっぱりマイクロソフトも泥臭い苦労してるんだなぁ、と親近感を覚えました。
屍体メモ [windy.cx]
Re: (スコア:0)
ssh-vulnkeyもopenssh-blacklistへの依存も、README.compromised-key.gzも
含まれてないです。
Re: (スコア:0)
$ dpkg -l | grep openssh
ii openssh-blacklist 0.1.1 list of blacklisted OpenSSH RSA and DSA keys
ii openssh-client 4.3p2-9etch1 Secure shell client, an rlogin/rsh/rcp repla
ii openssh-server 4.3p2-9etch1 Secure shell server, an rshd replacement
ssh-vulnkey は openssh-server パッケージに入ってます。
Re:なぜ? (スコア:1)
$ dpkg -L openssh-client
/.
/usr
/usr/lib
/usr/lib/openssh
/usr/lib/openssh/ssh-keysign
/usr/bin
/usr/bin/ssh-copy-id
/usr/bin/ssh
/usr/bin/ssh-agent
/usr/bin/scp
/usr/bin/ssh-keyscan
/usr/bin/ssh-argv0
/usr/bin/ssh-add
/usr/bin/sftp
/usr/bin/ssh-keygen
/usr/bin/ssh-vulnkey
/usr/share
/usr/share/doc
/usr/share/doc/openssh-client
/usr/share/doc/openssh-client/changelog.Debian.gz
/usr/share/doc/openssh-client/README.compromised-keys.gz
/usr/share/doc/openssh-client/README
/usr/share/doc/openssh-client/NEWS.Debian.gz
/usr/share/doc/openssh-client/README.dns
/usr/share/doc/openssh-client/README.tun.gz
/usr/share/doc/openssh-client/copyright
/usr/share/doc/openssh-client/changelog.gz
/usr/share/doc/openssh-client/README.Debian.gz
/usr/share/doc/openssh-client/OVERVIEW.gz
(snip)
$ dpkg -s openssh-client
Package: openssh-client
Status: install ok installed
Priority: standard
Section: net
Installed-Size: 1608
Maintainer: Matthew Vernon <matthew@debian.org>
Architecture: i386
Source: openssh
Version: 1:4.3p2-9etch1
Replaces: ssh, ssh-krb5
Provides: rsh-client, ssh-client
Depends: libc6 (>= 2.3.6-6), libcomerr2 (>= 1.33-3), libedit2 (>= 2.5.cvs.20010821-1), libkrb53 (>= 1.4.2), libncurses5 (>= 5.4-5), libssl0.9.8 (>= 0.9.8c-1), zlib1g (>= 1:1.2.1), debconf (>= 1.2.0) | debconf-2.0, adduser (>= 3.10), dpkg (>= 1.7.0), passwd, libssl0.9.8 (>= 0.9.8c-4etch3)
Suggests: ssh-askpass, xbase-clients
Conflicts: ssh (<< 1:3.8.1p1-9), sftp, rsh-client (<< 0.16.1-1), ssh-krb5 (<< 1:4.3p2-7)
(snip)
Re: (スコア:0)
openssh-cilent,openssh-serverのほうは
4.3p2-9etch1ではなく、4.3p2-9のままでした。
(sshパッケージは4.3p2-9etch1だったのですが)
玄箱proでarmなので
http://packages.debian.org/ja/etch/openssh-client
を見る限り、まだ用意されてないということなんでしょうか。
Re:なぜ? (スコア:1)
通常であれば、buildd のログを見て確認できるのですが、security アップデートだと通常とは違う経路で build されているかもしれません。
http://security.debian.org/pool/updates/main/o/openssh/ も見ましたが、パッケージが存在していないですね。
確認すべき場合は、debian-arm@lists.debian.org か debian-security@lists.debian.org に投げてみると良いかと。
#もし、必要でしたら聞いてみるぐらいは明日してみますよ。
arm でも build されました>玄箱/Proユーザの方 (スコア:1)
Re: (スコア:0)
4.3p2-9etch2へのアップデートを
確認いたしました。
すみませんお騒がせしました。
Re:arm でも build されました>玄箱/Proユーザの方 (スコア:1)
とんでもないです、むしろ状況を教えていただけて情報がシェアできるのでありがたいです(arm マシンを使って無いので当方では全く気づいていませんでした)。感謝します。
Re:なぜ? (スコア:1)
% perl ~/Downloads/dowkd.pl user
summary: keys found: 3, weak keys: 0
なので、何も表示されないのは動作がおかしいのでは?もし改行がないせいで何も表示しないように見えているなら、
% ./dowkd.pl user; echo
とやってみてはどうでしょうか?
Best regards, でぃーすけ