OpenSSHの vulnerability:Fedora projectが困ってたのはコレか(追記あり)

先日から、fedora-announce-listに訳のわからない"Important infrastructure announcement"なるものがポストされていたのですが、Fedora infrastructure breach? | ZDNetFedoraプロジェクトがクラックされた原因 - RedHat系ユーザは早急に対応が必要 - yohgakiさんの日記を読んでいて気が付きました。やばい。
OpenSSHのsecurity updateRedhatから出ています。
しかも、クラックされたサイトから、侵入者が置いたとみられるopensshのパッケージがダウンロードされていたかもしれないとう話なので、redhat.com | OpenSSH blacklist scriptもご覧下さい。
(2008/8/25追記:パッケージがダウンロードされた、というか、Redhatのサイト内の鍵を使って、侵入者が自分たちのopensshのパッケージを署名した可能性がある、ということらしい。でも、他のパッケージを署名しなかったという証明って、できるのだろうか?←rpmの仕組がよくわかってないのでした。したがって、今回、opensshのパッケージがリリースされたのは、侵入方法に対応するパッチをリリースするためではなかったということかな)
(2009/9/24追記:トラックバックがついたので、新たにここに来た方向け。その後、Fedoraがパッケージの署名鍵を変えたことにも注意する必要があるかもです。
セキュリティホール memo - 2008.08も参照にくわえておきます。
その後のfedora-announceのMLには、
9/6になって、新しい鍵による署名作業などが一段落したとの報告がありました。でも、配布の体制はまだ完全には整っていなかったようです。

Today we've reached a major milestone in this progress. We have done a
successful compose of all the existing and as of yesterday pending
updates for Fedora 8 and Fedora 9, all signed with our new keys. These
updates will soon hit mirrors in a new set of directory locations.
What
we don't have quite yet is the updated fedora-release package in the old
updates location that will get you the new keys and the new repo
locations. The last mile testing of this update requires that new
updates be live on the mirrors.

9/10には、ミラーサイトの準備もできた。という話が掲載されてました。
そして、9/19には下記のように、正常に復した、というメールが流れました。

Work on the Fedora infrastructure has returned to normal at this point.
Updates are once again available for Fedora 8 and Fedora 9, our current
releases, using the new package signing key we've implemented. To read
more about the new package signing key, refer to:

https://fedoraproject.org/wiki/New_signing_key
https://fedoraproject.org/wiki/Enabling_new_signing_key

↑のhttps://fedoraproject.org/wiki/Enabling_new_signing_keyを読めば、新しい認証鍵の対処法がわかるはずです。要するに、FC8やFC9の人はfedora-release packageを新しくして、新しい鍵をインストールするわけです。 2008/9/24追記終わり)