degas@debian:~$ sudo apt-get upgrade パッケージリストを読み込んでいます... 完了 依存関係ツリーを作成しています... 完了 以下のパッケージは保留されます: openssh-client openssh-server アップグレード: 0 個、新規インストール: 0 個、削除: 0 個、保留: 2 個。
保留されている場合は
apt-get update
apt-get -s dist-upgrade
apt-get -u dist-upgrade
http://park15.wakwak.com/~unixlife/linux/de-pkg-5.html
最初に-sオプション(シミュレーション表示のみを行う)を付けてdist-upgrade
を実行し、何が削除されることになるのかをチェックするのがよいでしょう。
[debian-users:44343] Re: パッケージの保留に関して
これらに従って、ひとまず-sを付けてdist-upgradeしてみる。
degas@debian:~$ sudo apt-get -s dist-upgrade パッケージリストを読み込んでいます... 完了 依存関係ツリーを作成しています... 完了 アップグレードパッケージを検出しています ... 完了 以下のパッケージが新たにインストールされます: openssh-blacklist 以下のパッケージはアップグレードされます: openssh-client openssh-server アップグレード: 2 個、新規インストール: 1 個、削除: 0 個、保留: 0 個。 Inst openssh-blacklist (0.1.1 Debian-Security:4.0/stable) Inst openssh-server [1:4.3p2-9] (1:4.3p2-9etch2 Debian-Security:4.0/stable) [] Inst openssh-client [1:4.3p2-9] (1:4.3p2-9etch2 Debian-Security:4.0/stable) Conf openssh-blacklist (0.1.1 Debian-Security:4.0/stable) Conf openssh-client (1:4.3p2-9etch2 Debian-Security:4.0/stable) Conf openssh-server (1:4.3p2-9etch2 Debian-Security:4.0/stable)
つまり、新しくopenssh-blacklistというのを入れるから、保留されていたのかな。
ちとググると、どうやら脆弱性が見つかった、ということ。
Package : openssh
Vulnerability : 予測可能な乱数生成器
Problem type : リモート
Debian-specific: はい
CVE Id(s) : CVE-2008-0166昨日公開された Debian の openssl パッケージの更新 (DSA-1571-1, CVE-2008-0166) は、OpenSSH にも間接的に影響します。この結果、壊れたバージョンの Openssl で生成された全てのユーザとホスト鍵は、openssl の更新適用後も信用できないものとして扱われなければなりません。
[debian-users:50520] [Translate] [SECURITY] [DSA 1576-1] New openssh packages fix predictable randomness
というか、14日の情報なのに、てきとーに放りっぱなしだな>おれ。
ではdist-upgrade。途中でこんなメッセージも。
Vulnerable host keys will be regenerated Some of the OpenSSH server host keys on this system were generated with a version of OpenSSL that had a broken random number generator. As a result, these host keys are from a well-known set, are subject to brute-force attacks, and must be regenerated. Users of this system should be informed of this change, as they will be prompted about the host key change the next time they log in. Use 'ssh-keygen -l -f HOST_KEY_FILE' after the upgrade has changed to print the fingerprints of the new host keys. The affected host keys are: /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_dsa_key User keys may also be affected by this problem. The 'ssh-vulnkey' command may be used as a partial test for this. See /usr/share/doc/openssh-server/README.compromised-keys.gz for more details.
りょーかいです。
ってことで、クライアント側の~/.ssh/known_hostsを削除してsshにてDebianサーバへ再ログイン。
air:~ air$ ssh +++.+++.++.++ The authenticity of host '+++.+++.++.++ (+++.+++.++.++)' can't be established. RSA key fingerprint is **:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**. Are you sure you want to continue connecting (yes/no)? y Please type 'yes' or 'no': yes Warning: Permanently added '+++.+++.++.++' (RSA) to the list of known hosts.
はいこれでOK。
あとはssh-vulnkeyでチェック。
degas@debian:~$ ssh-vulnkey Not blacklisted: 2048 **:**:**:**:**:**:**:**:**:**:**:**:**:**:**:** root@debian Not blacklisted: 1024 **:**:**:**:**:**:**:**:**:**:**:**:**:**:**:** root@debian Not blacklisted: 2048 **:**:**:**:**:**:**:**:**:**:**:**:**:**:**:** air@air.local
Not blacklistedだし、2006年9月以前に作成された鍵には欠陥はないそうなので、うちは関係ないですな。よかったよかった。
