OpenSSH 3.5リリース 9
ストーリー by Oliver
特権あげない 部門より
特権あげない 部門より
motchie 曰く、 "セキュリティホール memoより。OpenSSH 3.5がリリースされました。主な変更点としては: 特権分離機能のサポートの改善、OpenSSL 0.9.7以前のバージョンに対するAES/Rijndael EVP統合の修正、ssh-keysignがデフォルトで無効になり、サーバのssh_configでHostbasedAuthenticationオプションが有効な場合にのみ有効に、ssh-keysignのuse-after-freeバグが修正されたなどがあります。
以前に問題も起きてますので、ダウンロードしたソースコードのMD5チェックサムをチェックされることをお薦めします。"
改竄対策にMD5で確認??? (スコア:2, 参考になる)
まったくの別の、かつ信頼できる経路で入手できる公開鍵で 確認するとかで無い限り意味はありません
前回(3.4p1)はMD5SUMが正しいもののままだったようですが、 本体を置き換えることができるなら MD5SUMも置き換ることも可能だったと考えるのが自然です。
# rm -rf ./.
Re:改竄対策にMD5で確認??? (スコア:2, 参考になる)
# もちろん一旦手に入れてしまえばずっと使える公開鍵の方が楽ですが。
FreeBSD repo (スコア:2, 参考になる)
OpenSSH など、重要なマスタファイルを提供するサーバも、他のサービスと独立させたり、ログインできる人間をしぼったりする必要があるでしょうね。
Re:改竄対策にMD5で確認??? (スコア:2, 参考になる)
MD5SUMの内容が改ざんされる危険性については認識した上で書きましたが、
タレコミでは、それが表現されていませんでした。
おっしゃるとおり、まったく別の、かつ信頼できる経路で入手可能な
ハッシュ値なり公開鍵なりで確認しないといけませんね。
特権分離と圧縮 (スコア:1, 参考になる)
幸せ。
ssh-keysignって (スコア:0)
Re:ssh-keysignって (スコア:0)
OpenBSD 3.2 RELEASE (スコア:0)
OpenBSD-3.2は初期インストールでOpenSSH-3.5が入ってきます。
皆様、11月1日はOpenBSDの日。お見逃し無いよう、、、
/* OpenBSD-3.2 STABLE版に関する事は、ココ [openbsd.org]まで */
/* OpenBSD-3.2のセキュリティ修正用パッチはココ [openbsd.org]まで */
予言? (スコア:0)
and suggested I "might be feeding everyone a trojan"
というのは今読み返してみると笑えるなあ
#ひょっとしてこれがトロイ事件の動機だったりして