UseRoamingを無効にしてOpenSSHのクライアントバグCVE-0216-0777およびCVE-0216-0778を修正する方法
OpenSSHプロジェクトは本日、OpenSSHバージョン5.4〜7.1に影響を与えるクライアント側の問題を報告しました。 この問題により、SSHクライアントが重要な情報を漏えいし、ユーザーが中間者攻撃にさらされる可能性があります。
##これは何を意味するのでしょうか?
SSHクライアントがサーバーに接続すると、キー交換が開始されます。 OpenSSHクライアントに含まれる新しい「ローミング」機能が悪用される可能性があり、悪意のあるサーバーがこの問題を利用して、クライアントのプライベートユーザーキーを含むクライアントメモリをサーバーにリークする可能性があります。
##影響を受けるのは誰ですか?
この問題は、Linux、FreeBSD、Mac OSXなどの最新のオペレーティングシステムのOpenSSHクライアント(サーバーではない)に影響します。 この問題は、OpenSSH for Windowsを実行しているユーザーにも影響する可能性がありますが、WindowsでPuTTYを使用しているユーザーには影響しません。
つまり、Droplet(サーバー側)でOpenSSHを更新する必要はありませんが、ローカルコンピューターでOpenSSHクライアントを更新する必要があります。 すべての拠点をカバーしたい場合は、新しいキーペアを生成し、新しい公開キーをサーバーにアップロードできます(詳細については、最後から2番目のセクションを参照してください)。
##問題を修正する方法
影響を受けるディストリビューションに対してパッチとアップデートが公開されている間、このセキュリティ問題の原因となっている機能を手動で無効にして、問題を解決することができます。 OS X、Linux、およびBSDのバリアントでは、SSH構成に行を追加することでこれを実行できます。
### LinuxおよびFreeBSDの場合次のコマンドを実行して、構成に新しい行を追加します。
echo 'UseRoaming no' | sudo tee -a /etc/ssh/ssh_config
###MacOSXの場合
次のコマンドを実行して、構成に新しい行を追加します。
echo "UseRoaming no" >> ~/.ssh/config
セッションを閉じて再開する
これを行ったら、変更を有効にするために、開いているSSHセッションをすべて閉じる必要があります。
セキュリティを重視する場合:すべてのキーペアを再生成します
この脆弱性を使用して誰かがあなたの秘密鍵にアクセスしたと思われる場合、または「万が一に備えて」基地をカバーしたい場合は、すべての鍵ペアを再生成し、新しい公開鍵をサーバーにアップロードする必要があります。
##詳細OpenSSH:クライアントのバグCVE-0216-0777およびCVE-0216-0778 Ubuntu-USN-2869-1:OpenSSHの脆弱性