_ 4連休風邪で寝込む→平日3日がんばって出社→ぶり返して週末また寝込む。
_ おれの休みを返せ。
_ けっきょく週末だけでは済まず月火水とまた休んで、今日ひさしぶりに出社。太陽がまぶしい。
_ やつれたとか顔が白いとか言われまくった。
_ bk1 から届いたメールより抜粋。
5月13日にお送りいたしましたメール「【bk1】最高1000円引き!空クジなし の宝クジギフト券プレゼント!(5/19まで)」におきまして、 文中に誤りがございました。訂正してお詫び申し上げます。 誤) ※本メールは、過去にオンライン書店ビーケーワンでボーイズラブ関連書を ご購入いただいたことのあるお客様へ配信させていただいております。 正) ※本メールは、過去にオンライン書店ビーケーワンをご利用 いただいたことのあるお客様へ配信させていただいております。_ 噴いたじゃねーか。訂正しなけりゃ気がつかないままゴミ箱行きだったのに。ジャンルを間違えるにしても、よりにもよって BL はねーだろ:-)
_ いや、BL 買ってませんよ。ほんとだよ?
When creating a new OpenSSH key, there are only 32,767 possible outcomes for a given architecture, key size, and key type.ステキすぎる。総当たりであっとゆーまに全パターンを網羅できてしまう。この腐った公開鍵認証よりも、昔ながらのパスワード認証の方がよっぽど強い。_ ええ、見事にひっかかりましたよ。てめーの ssh 鍵はダメだから作りなおせ、と晒し上げられた。わしが Windows PC から ssh するとき使う鍵って、同じマシンの中で動いている colinux な debian で作ってるんだもん。ひでー話だ。
_ さらなる落とし穴は、生成された鍵自体が弱いので、authorized_keys に debian で作った鍵が入っていれば ssh サーバが debian じゃなくても攻略されてしまう、ということだな。わしの場合も debian で作った危険な鍵を debian でないホストに置いて危険な状態にしていたわけで。
_ そんなわけで、今回の件は debian を越えてあらゆる環境で問題になるはずなんだけど、debian 側の広報範囲が狭すぎるような気がするぞ。debian 以外のユーザの目にも触れるようにしておかなきゃかなりマズい穴だと思うんだが。というか、debian に頼らず各ベンダーがそれぞれ security advisory を出してもいいぐらいだと思う。どっかあやしいところからの ssh ログインを試みる攻撃ってのはこれまでパスワード認証ばっかりだったけど、限られたパターンの公開鍵認証を試す攻撃ってのも今後は増えるだろう。
_ でも最悪のシナリオは ssh ではなくて、どっかの SSL 証明書屋さんが該当バージョンの debian で作られていた場合かな。その証明局のルート証明書とか中間証明書とかがこの穴にひっかってたりなんかしたものだったりしたら、サーバ証明書を偽造できちゃうことになる。そのルート証明書なり中間証明書なりを revoke しないかぎり、穴なしの証明書屋さんが発行した真正のサーバ証明書と、この穴を利用した偽造サーバ証明書のどっちがホンモノか判別できなくなる。SSL の信頼性が根底からひっくり返るというとんでもない事態に。それだけは勘弁してください。
_ で、今回の debian によるエンバグってのは、valgrind が発見したメモリリークをふさごうとして自爆したものらしく。わしゃプログラム開発の人じゃないのであんまりよく知らんのだけど、こういうツールってどの程度の信頼性があるんだろか。postfix の ML (日本じゃなくて本家)で、そういうツールを使ってリークを見つけたよー、というメールが投げられて、そのすぐ後に「それは false positive だ」と wietse が一蹴する、というやりとりを見た記憶があるんだよね。wietse がそういうツールを信じていないわけではなく、ちゃんと有用性を理解して自身でも有効に活用していることは HISTORY に残る記録を見ても明らかなんだけど(たとえば 20060404 や 20060604 の修正)。重要なのは、そういうツールの実行結果を盲信して意味もわからずエラーがなくなるようにいじるのではなく、何がまずかったのかちゃんと吟味するっつーことなんだな。まあ、口で言うのはカンタンでも、現実はそんなに甘くはないんだろうけど。