SANS Instituteの Internet Storm Center (ISC) は、この脆弱性を受け、インターネットの脅威レベルを示す警戒指標『INFOcon』を、4段階中下から2番目の「Yellow」に引き上げた。ISC の Bojan Zdrnja 氏によれば、暗号鍵ベースの SSH 認証を攻撃する自動スクリプトの開発という事態は、世界中の SSH サーバーに対する本物の脅威に見えるという。Zdrnja 氏は Blog の中で、あらゆる Debian ベースのシステムにおいて、2006年9月から2008年5月13日までの間に生成した公開鍵は危険だと注意を促している。
Zdrnja 氏は Blog で次のように記した。「Debian あるいは Ubuntu のシステムを使っており、SSH 認証に暗号鍵を使っている場合 (これは皮肉にも、われわれが長らく推奨してきたことだ)、この問題が非常に危険なことは明らかだ。別の言い方をすれば、総当たり攻撃で、これらのセキュリティ システムをひどく簡単に突破できる」
セキュリティの研究者で、オープンソースのセキュリティ検証用ツール『Metasploit』プロジェクトを率いる HD Moore 氏は、すでにさらなる一歩を踏み込んでおり、公の場でいかにして1024、2048、4096ビット長の暗号鍵を総当たり攻撃で突破し得たのか説明している。脆弱性自体は、Debian 固有のバージョンの『OpenSSL』パッケージに存在し、OpenSSH で用いる暗号鍵生成部分に不具合がある。様々な Linux ディストリビューションが OpenSSL を備えているが、Moore 氏によれば、Debian ベースのディストリビューション以外では必ずしも危険ではないという。
Moore 氏は次のように述べた。「問題になっている脆弱性は、Debian のパッチがもたらしたものだ。このパッチは、OpenSSL (プロジェクト) の上流側に至らなかったため、Debian ベースのディストリビューションだけが、この問題を抱えている」
(E-コマース 7月25日 18:00)
EPM Summit 8月27日開催 at 東京
