DebianのOpenSSLライブラリに予測可能な乱数の生成を行う脆弱性

OpenSSHやOpenVPNなどの暗号化にも用いられるOpenSSLライブラリに予測可能な乱数を生成してしまう脆弱性が発見された。DebianやUbuntuでOpenSSHなどを用いている方はすぐにチェックが必要だ。

[ITmedia]

　OpenSSHやOpenVPNなどの暗号化にも用いられるOpenSSLライブラリに予測可能な乱数を生成してしまう脆弱性が発見された。

　この脆弱性が存在するのは、DebianおよびUbuntuのopensslパッケージ。0.9.8c-1以降のバージョンで作成された暗号鍵に関するデータは、予測可能な乱数を用いて生成されることになるため、脆弱なものとなる。

　この脆弱性は、安定版ディストリビューション（etch）では0.9.8c-4etch3で、テスト版（lenny）および不安定版ディストリビューション（sid）ではバージョン 0.9.8g-9 でそれぞれ修正されている。利用者は問題のあるバージョンのOpenSSLで生成された暗号鍵かどうかを調べるツールで確認の上、該当パッケージをアップグレード、暗号鍵を再生成することが推奨される。