OpenSSL/Debian脆弱性/ブラックリストのメモ - kurushima @ 自堕落な技術者のヰキ(公開版)

更新:2008.06.20

openssl-blacklistやdowkd等のブラックリストに入っている内容や
チェックスクリプトについてバージョン差分を調査したメモです。

2008年6月20日現在ではブラックリストのチェックにはdowkdでなく
openssl-blacklistの最新のもの(0.4.2)を使用することをオススメします。
パッケージを使うとディストリビューションで不整合を起こしますが
依存関係を気にするほどのものでもないのでソースからリストとスクリプトを
抜き出してチェックすると良いでしょう。

Dist	Name	Ver	日付	rnd	SSL			SSL			SSL			SSL			SSL			SSL			変更		備考
					RSA			RSA			RSA			RSA			RSA			DSA
					512			1024			2048			4096			8192			1024			list	script
					BE	LE		BE	LE		BE	LE		BE	LE		BE	LE		BE	LE
					32	64	32	32	64	32	32	64	32	32	64	32	32	64	32	32	64	32
-	dowkd		2008.05.22	計	-	-	-	-	6a	6a	-	6a	6a	-	-	-	-	-	-	-	-	-	？	？	？
				rnd	-	-	-	-	3a	3a	-	3a	3a	-	-	-	-	-	-	-	-	-
				nr	-	-	-	-	3a	3a	-	3a	3a	-	-	-	-	-	-	-	-	-
				crr	-	-	-	-	-	-	-	-	-	-	-	-	-	-	-	-	-	-
debian	openssl-black-list	0.4.2	2008.06.17	計	9b	9b	9b	9b	9b	9b	9b	9b	9b	9b	9b	9b	-	-	-	-	-	-	同↓	同↓	pkg依存修正
				rnd	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	-	-	-	-	-	-
				nr	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	-	-	-	-	-	-
				crr	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	-	-	-	-	-	-
debian	openssl-black-list	0.4.1	2008.06.16	計	9b	9b	9b	9b	9b	9b	9b	9b	9b	9b	9b	9b	-	-	-	-	-	-	変更	？	LE64-4096追加
				rnd	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	-	-	-	-	-	-
				nr	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	-	-	-	-	-	-
				crr	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	-	-	-	-	-	-
debian	openssl-black-list	0.4	2008.06.11	計	9b	9b	9b	9b	9b	9b	9b	9b	9b	9b	-	9b	-	-	-	-	-	-	変更	変更	"鍵長512,4096追加,BE32追加,SHA1ハッシュの下位10バイトのみ照合,リスト生成が明らかに"
				rnd	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	-	3b	-	-	-	-	-	-
				nr	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	-	3b	-	-	-	-	-	-
				crr	3b	3b	3b	3b	3b	3b	3b	3b	3b	3b	-	3b	-	-	-	-	-	-
debian	openssl-black-list	0.3.2	2008.05.29	計	-	-	-	-	9b	9b	-	9b	9b	-	-	-	-	-	-	-	-	-	同↓	？	？
				rnd	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
				nr	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
				crr	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
ubuntu	openssl-black-list	0.3.2	2008.06.01	計	-	-	-	-	9b	9b	-	9b	9b	-	-	-	-	-	-	-	-	-	同↓	？	"gen(ADDバージョン確認,FIX拡張子pem)vulnkey(ADD一時ファイルの使用)"
				rnd	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
				nr	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
				crr	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
ubuntu	openssl-black-list	0.3.1	2008.05.29	計	-	-	-	-	9b	9b	-	9b	9b	-	-	-	-	-	-	-	-	-	同↓	？	gen(変更無)vulnkey(変更無)
				rnd	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
				nr	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
				crr	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
ubuntu	openssl-black-list	0.3	2008.05.22	計	-	-	-	-	9b	9b	-	9b	9b	-	-	-	-	-	-	-	-	-	同↓	同↓	開発者の名前追加のみ
				rnd	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
				nr	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
				crr	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
ubuntu	openssl-black-list	0.2	2008.05.21	計	-	-	-	-	9b	9b	-	9b	9b	-	-	-	-	-	-	-	-	-	更新	更新	gen(追加)vulnkey(ADD証明書対応)
				rnd	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
				nr	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
				crr	-	-	-	-	3b	3b	-	3b	3b	-	-	-	-	-	-	-	-	-
ubuntu	openssl-black-list	0.1	2008.05.14	計	-			164610			163840			-			-			-			？	？	？
				rnd
				nr
				crr

凡例：
rnd: 乱数ファイル($HOME/.rnd)がファイルサイズ1バイト以上で存在する場合
nr: 乱数ファイルが無い場合
crr: 乱数ファイルのサイズが0かアクセス権が無く読めない場合
BE: big endianのCPU(モトローラ系のMacOS/PowerPC,Solaris/Sparc等)
LE: little endianのCPU(インテル系のWindows/i386,Linux/i386等)
9b: リスト中の鍵数98304個(=32768{プロセスID 0～32767}×3{rnd,nr,crr})
3b: リスト中の鍵数32768個(=32768{プロセスID 0～32767})
6a: リスト中の鍵数65534個(=32768{プロセスID 1～32767}×2{rnd,nr})
3a: リスト中の鍵数32767個(=32767{プロセスID 1～32767})

• http://repo.or.cz/w/dowkd.git
• ftp://ftp.debian.org/debian/pool/main/o/openssl-blacklist
• https://launchpad.net/ubuntu/intrepid/i386/openssl-blacklist/