vine-users ML アーカイブ



[vine-users:052550] Re: OpenSSH の件 ( セキュリティ)

  • From: MATSUBAYASHI 'Shaolin' Kohji <shaolin@xxxxxxxxxxxxxxx>
  • Subject: [vine-users:052550] Re: OpenSSH の件 ( セキュリティ)
  • Date: Sun, 04 Aug 2002 18:59:03 +0900
松林 (a.k.a. しょうりん) @ Project Vine です.


At Sun, 04 Aug 2002 17:26:21 +0900,
Masa Takahashi wrote:
> 
> どこかのホームページで見たのですがOpenSSHソースにトロイの
> 木馬が、しかけられた物があるとか
> 
> Vineに含まれているバイナリは大丈夫なのでしょうか?
> 自分では調べる術を知らなかったのでmailさせていただきました。

Vine-2.5/updates の openssh-3.4p1-0vl2 と
Vine-2.1.x/updates の openssh-2.9.9p2-0vl0.3 共に大丈夫です.


以下,VineSeed ML で行われた同様の話を引用しておきます:


At Fri, 2 Aug 2002 09:46:32 +0900,
MATSUBAYASHI 'Shaolin' Kohji wrote:
> 
> At Fri, 2 Aug 2002 09:21:56 +0900,
> KYUSHIMA Masahiro wrote:
> > 
> > http://www.openssh.com/txt/trojan.adv
> > 
> > OpenSSH version 3.2.2p1, 3.4p1 and 3.4 have been trojaned on the
> > OpenBSD ftp server and potentially propagated via the normal mirroring
> > process to other ftp servers.
> > 
> > だそうです。Vineのものは大丈夫でしょうか。気になったのでお知らせのつもりで
> > メールしています。
> 
> 念の為確認してみました.
> 
> > 3. Solution:
> > 
> > Verify that you did not build a trojaned version of the sources.  The
> > portable SSH tar balls contain PGP signatures that should be verified
> > before installation.  You can also use the following MD5 checksums for
> > verification.
> > 
> > MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8 
> > MD5 (openssh-3.4p1.tar.gz.sig) = d5a956263287e7fd261528bb1962f24c
> > MD5 (openssh-3.4.tgz) = 39659226ff5b0d16d0290b21f67c46f2
> > MD5 (openssh-3.2.2p1.tar.gz) = 9d3e1e31e8d6cdbfa3036cb183aa4a01
> > MD5 (openssh-3.2.2p1.tar.gz.sig) = be4f9ed8da1735efd770dc8fa2bb808a
> 
> VineSeed: openssh-3.4p1-0vl2.src.rpm
>   459c1d0262e939d6432f193c7a4ba8a8  openssh-3.4p1.tar.gz
> 
> ということで大丈夫の様です.

--
 MATSUBAYASHI, 'Shaolin' Kohji                    shaolin@xxxxxxxxxxxxxxx
 Vice President & PPC Maintainer, Project Vine    shaolin@xxxxxxxxxxxxx
 http://www.rhythmaning.org/