『Debian』および『Ubuntu』の『OpenSSH』に深刻な脆弱性見つかる

この記事のURLhttp://japan.internet.com/webtech/20080516/12.html

サーバーに遠隔アクセスする際のセキュリティを確保する手段として、『OpenSSH』は最も一般的な仕組みの1つだ。しかし、『Ubuntu』などの『Debian』ベースの『Linux』ディストリビューションにおいて、OpenSSH の安全性にとって重要な部分に脆弱性が見つかり、数百万台のサーバーが、総当たり型の攻撃を受ける危険にさらされていると明らかになった。このような攻撃が起きれば、インターネットに深刻な影響を与えかねない。

SANS Instituteの Internet Storm Center (ISC) は、この脆弱性を受け、インターネットの脅威レベルを示す警戒指標『INFOcon』を、4段階中下から2番目の「Yellow」に引き上げた。ISC の Bojan Zdrnja 氏によれば、暗号鍵ベースの SSH 認証を攻撃する自動スクリプトの開発という事態は、世界中の SSH サーバーに対する本物の脅威に見えるという。Zdrnja 氏は Blog の中で、あらゆる Debian ベースのシステムにおいて、2006年9月から2008年5月13日までの間に生成した公開鍵は危険だと注意を促している。

Zdrnja 氏は Blog で次のように記した。「Debian あるいは Ubuntu のシステムを使っており、SSH 認証に暗号鍵を使っている場合 (これは皮肉にも、われわれが長らく推奨してきたことだ)、この問題が非常に危険なことは明らかだ。別の言い方をすれば、総当たり攻撃で、これらのセキュリティ システムをひどく簡単に突破できる」

セキュリティの研究者で、オープンソースのセキュリティ検証用ツール『Metasploit』プロジェクトを率いる HD Moore 氏は、すでにさらなる一歩を踏み込んでおり、公の場でいかにして1024、2048、4096ビット長の暗号鍵を総当たり攻撃で突破し得たのか説明している。脆弱性自体は、Debian 固有のバージョンの『OpenSSL』パッケージに存在し、OpenSSH で用いる暗号鍵生成部分に不具合がある。様々な Linux ディストリビューションが OpenSSL を備えているが、Moore 氏によれば、Debian ベースのディストリビューション以外では必ずしも危険ではないという。

Moore 氏は次のように述べた。「問題になっている脆弱性は、Debian のパッチがもたらしたものだ。このパッチは、OpenSSL (プロジェクト) の上流側に至らなかったため、Debian ベースのディストリビューションだけが、この問題を抱えている」

なお、Debian と Ubuntu は該当の脆弱性を修正するパッチを公開済みで、脆弱な可能性がある暗号鍵を特定するためのツールも提供している。