最近一個很轟動的新聞： Debian 的 openssl 套件有個大漏洞. Debian 把 openssl 套件裡產生亂數種子的程式碼移除了. (是一個德國佬做的. 很奇怪.) 這動作讓使用這版本的 openssl 產生的 SSH key有規則可循. 使用這些key的server, 很難承受暴力攻擊。 受影響的版本: * Debian 4.0 (etch) * Ubuntu 7.04 (Feisty) * Ubuntu 7.10 (Gutsy) * Ubuntu 8.04 LTS (Hardy) update吧. 然後重做key-gen. 有人的ssh假如是用key認證的話, 也注意一下你的key是不是由這些版本產生. 系統中有使用到 openssl 來產生key的package, 如 ipopd-openssl,postfix-tls,uw-imapd 及 apache-openssl 等等. 也要更新所使用的 SSL key. ------------------------------------------------------------------------- 難怪之前, 我覺得奇怪openssl怎麼還會更新. 然後openssh怎麼也在regen它的key. 怎麼會這麼多安全性的package都一起動作. 不過, 我沒理會, 安心睡覺去. 直到今天學長跟我說這件大事, 我才知道 ... 囧rz 原來這是因為由源頭就爛了, 難怪會做這麼多更新. 這個patch在兩年前就出現. 這兩年來, 用Debain/Ubuntu ssh server的人實際上過著危險的日子. 囧rz 這個patch是5月被踢爆的. 所以SA更新package and ssh key吧 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.233.31