最近一个很轰动的新闻： Debian 的 openssl 套件有个大漏洞. Debian 把 openssl 套件里产生乱数种子的程式码移除了. (是一个德国佬做的. 很奇怪.) 这动作让使用这版本的 openssl 产生的 SSH key有规则可循. 使用这些key的server, 很难承受暴力攻击。 受影响的版本: * Debian 4.0 (etch) * Ubuntu 7.04 (Feisty) * Ubuntu 7.10 (Gutsy) * Ubuntu 8.04 LTS (Hardy) update吧. 然後重做key-gen. 有人的ssh假如是用key认证的话, 也注意一下你的key是不是由这些版本产生. 系统中有使用到 openssl 来产生key的package, 如 ipopd-openssl,postfix-tls,uw-imapd 及 apache-openssl 等等. 也要更新所使用的 SSL key. ------------------------------------------------------------------------- 难怪之前, 我觉得奇怪openssl怎麽还会更新. 然後openssh怎麽也在regen它的key. 怎麽会这麽多安全性的package都一起动作. 不过, 我没理会, 安心睡觉去. 直到今天学长跟我说这件大事, 我才知道 ... 囧rz 原来这是因为由源头就烂了, 难怪会做这麽多更新. 这个patch在两年前就出现. 这两年来, 用Debain/Ubuntu ssh server的人实际上过着危险的日子. 囧rz 这个patch是5月被踢爆的. 所以SA更新package and ssh key吧 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.112.233.31