松林 (a.k.a. しょうりん) @ Project Vine です. At Sun, 04 Aug 2002 17:26:21 +0900, Masa Takahashi wrote: > > どこかのホームページで見たのですがOpenSSHソースにトロイの > 木馬が、しかけられた物があるとか > > Vineに含まれているバイナリは大丈夫なのでしょうか? > 自分では調べる術を知らなかったのでmailさせていただきました。 Vine-2.5/updates の openssh-3.4p1-0vl2 と Vine-2.1.x/updates の openssh-2.9.9p2-0vl0.3 共に大丈夫です. 以下,VineSeed ML で行われた同様の話を引用しておきます: At Fri, 2 Aug 2002 09:46:32 +0900, MATSUBAYASHI 'Shaolin' Kohji wrote: > > At Fri, 2 Aug 2002 09:21:56 +0900, > KYUSHIMA Masahiro wrote: > > > > http://www.openssh.com/txt/trojan.adv > > > > OpenSSH version 3.2.2p1, 3.4p1 and 3.4 have been trojaned on the > > OpenBSD ftp server and potentially propagated via the normal mirroring > > process to other ftp servers. > > > > だそうです。Vineのものは大丈夫でしょうか。気になったのでお知らせのつもりで > > メールしています。 > > 念の為確認してみました. > > > 3. Solution: > > > > Verify that you did not build a trojaned version of the sources. The > > portable SSH tar balls contain PGP signatures that should be verified > > before installation. You can also use the following MD5 checksums for > > verification. > > > > MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8 > > MD5 (openssh-3.4p1.tar.gz.sig) = d5a956263287e7fd261528bb1962f24c > > MD5 (openssh-3.4.tgz) = 39659226ff5b0d16d0290b21f67c46f2 > > MD5 (openssh-3.2.2p1.tar.gz) = 9d3e1e31e8d6cdbfa3036cb183aa4a01 > > MD5 (openssh-3.2.2p1.tar.gz.sig) = be4f9ed8da1735efd770dc8fa2bb808a > > VineSeed: openssh-3.4p1-0vl2.src.rpm > 459c1d0262e939d6432f193c7a4ba8a8 openssh-3.4p1.tar.gz > > ということで大丈夫の様です. -- MATSUBAYASHI, 'Shaolin' Kohji shaolin@xxxxxxxxxxxxxxx Vice President & PPC Maintainer, Project Vine shaolin@xxxxxxxxxxxxx http://www.rhythmaning.org/