渋谷@家から であります

NIDE Naoyuki wrote:

>   新出@ならじょ であります。
>   先日、在来の全てのバージョンに脆弱性が公表されたOpenSSLですが、手元で
> は、脆弱性が修正されたその時点での最新であるOpenSSL 0.9.7hに(0.9.7dから)
> 入れ換えると、OpenSSHが動かなくなりました。そのマシンに入るのも、そのマ
> シンから出ていくのもだめ。複数のディストリビューションおよびカーネルバー
> ジョンのLinux、複数のバージョンのOpenSSHでそうなりました。

ご愁傷様でした。

>   OpenSSHをコンパイルし直せば(OpenSSHに関しては)大丈夫なのでしょうけれど

libcrypt が変になってしまっていてはそうもいかないかなあ。

> (試していません)、状況から考えると他のソフトに影響が出ていることもありえ
> るし、ということで0.9.7hへの移行は断念。0.9.7g+CAN-2005-2969パッチへの入
> れ換えなら大丈夫だったので、何が悪かったんだろうと思いつつそのまま放って
> いましたが…、
>   どうやら0.9.7hに過去互換上の問題があったらしく、今日見ると0.9.7iが出て
> いて、こちらならOKでした。めでたし。…という報告でした。ご参考まで。

土曜日にopenssl-announceメーリングリストにリリースが出てたのは
これだったのですね。
それより少し前にopenssl-usersに障害報告あがっていたのも納得。

]]  Changes between 0.9.7h and 0.9.7i  [14 Oct 2005]
]] 
]]   *) Wrapped the definition of EVP_MAX_MD_SIZE in a #ifdef OPENSSL_FIPS.
]]      The value now differs depending on if you build for FIPS or not.
]]      BEWARE!  A program linked with a shared FIPSed libcrypto can't be
]]      safely run with a non-FIPSed libcrypto, as it may crash because of
]]      the difference induced by this change.
]]      [Andy Polyakov]
-- 
mailto:shibuya@dd.iij4u.or.jp           渋谷伸浩