■ [WinSCP][Release] WinSCP 4.1.5
2008/07/12, Windowsの SFTP/SCP/FTP クライアント, WinSCP 4.1.5がリリースされました. (WinSCP 4.1.5 の変更点).
■ [OpenSSH] OpenSSH 5.1 リリース準備中
openssh-unix-dev宛のメール「OpenSSH 5.1: call for testing」によると, OpenSSH 5.1/5.1p1のリリースの準備がされています.
たくさんの変更点を含むリリースとなりそうです. OpenSSH 5.1p1 での変更点のまとめ(暫定版)
■ [FileZilla][Release] FileZilla 3.0.11.1
2008/07/05, FileZilla3.0.11.1 がリリースされました(FileZilla 3.0.11.1 のリリースノート).
機能追加やバグ修正がされています.
■ [FileZilla][Release] FileZilla 3.0.11
2008/06/15, FileZilla3.0.11 がリリースされました(FileZilla 3.0.11 のリリースノート).
互換性やパフォーマンスの向上やバグ修正がされています.
■ [OpenSSL][Security][Release] OpenSSL 0.9.8h
OpenSSHで利用しているライブラリOpenSSL に0.9.8h がリリースされました. セキュリティの欠陥の修正が行なわれています. OpenSSL Security Advisory [28-Mar-2008]によると, 0.9.8f/0.9.8gで可能だったTLSでのサービス妨害攻撃の修正ですので, OpenSSHには影響しないと思われます.
■ [FileZilla][Release][Security] FileZilla 3.0.10
2008/05/20, FileZilla3.0.10 がリリースされました(FileZilla 3.0.10 のリリースノート).
バイナリパッケージで利用していたGnuTLS 2.2.4にDoS攻撃が可能な問題(CERT-FI - CERT-FI Vulnerability Advisory on GnuTLS)があったため, 2.2.5を利用するように変更されています.
■ [Security][OpenSSL][OpenSSH][Debian][Ubuntu] Debian/UbuntuのOpenSSLパッケージに脆弱性・OpenSSHにも影響する場合有り
Debian/Ubuntuのopensslパッケージ 0.9.8c-1 以降に脆弱性がありました. Debian特有の誤った修正により乱数が予測可能になっています. 脆弱性が含まれた最初のバージョンの 0.9.8c-1 は 2006-09-17にリリースされています. これにより以下の鍵が影響を受けます.
.SSH 鍵、OpenVPN 鍵、DNSSEC 鍵、X.509 証明書を生成するのに使われる鍵データ、および SSL/TLS コネクションに使うセッション鍵です。 GnuPG や GnuTLS で生成した鍵は影響を受けません。
下記アドバイザリで, 脆弱な鍵を発見するための資料(dowkd.pl.gz)とそのOpenPGP署名が提供されています(SSH の鍵については別のツールも提供されています, 後述).
- DSA-1571-1 openssl -- 予測可能な乱数の生成
- Ubuntu Security Notice USN-612-1 openssl vulnerability
- Vulnerability Summary CVE-2008-0166
- セキュリティホールmemo - DSA-1571-1 openssl -- 予測可能な乱数の生成
OpenSSHはOpenSSLに依存しているので, OpenSSHのホスト鍵やユーザ鍵を問題のあるOpenSSLのパッケージで作成していると, 鍵が脆弱となる問題がありました.
- DSA-1576-1 openssh -- predictable random number generator
- Ubuntu Security Notice USN-612-2 openssh vulnerability
上記アドバイザリにある通り, upgradeしたパッケージに含まれる ssh-vulkey コマンドで鍵が脆弱かどうかのチェックを行なえます. 鍵が脆弱であると判断されるか/脆弱かわからないと判断され問題のあるopensslのバージョンで作成していないとの確信が持てない場合は, 上記アドバイザリに従って対処すべきです.