脆弱な鍵を生成するOpenSSLの問題の影響について

もともとは「Debian -- Security Information -- DSA-1571-1 openssl予測可能な乱数の生成について」という話だったが、Debian限定の話かと思ってスルーしてました（汗
で、そんなことはない！という記事(5/15)記事(5/19)を読んだ。SSLのサーバ証明書を作成するベンダーでもやられているところ、というかやっちゃったところ(CyberTrust)があるのか、、、くわばらくわばら。とか言ってないで、ツール（http://security.debian.org/project/extra/dowkd/dowkd.pl.gz）を使って確認しまくりなさい＞俺
（5/22追記:2008/05/21 RapidSSLからDebianの例の件でメールが来た - 清水川Webを発見）
ああ、この件についてはちゃんとJPCERTから注意喚起のリリースがでてるんですね。RSSリーダでフォローしてなかった俺が悪いな。
で、妙な胸騒ぎがしたので、US-CERTを見に行ったら、やっぱりUbuntuも該当してましたね→US-CERT記事、で、以下はUbuntuのリリース、その１より引用

== Who is affected ==
Systems which are running any of the following releases:
* Ubuntu 7.04 (Feisty)
* Ubuntu 7.10 (Gutsy)
* Ubuntu 8.04 LTS (Hardy)
* Ubuntu "Intrepid Ibex" (development): libssl <= 0.9.8g-8
* Debian 4.0 (etch)

見事に、今日試していたVMware上のUbuntuがヒットしてますな（笑）でも、起動してすぐUpdate Managerをかけたので、鍵のblacklistチェッカーなんかもすでにインストールされてた模様。best practiceは身を助く、か。

ところで、鍵の脆弱性を調べるツール(perlのスクリプト)をちょっとソースを見てみたんだけど、いや実はソースを見るまでもなく、目的が「脆弱性を調べる」わけだから、もうほとんど攻撃（対象選択）ツールなわけです（汗
こういう状況で、乗り遅れるとけっこうやばいなぁ、と、思ったものでした。