半月前にdebianのOpenSSLの不具合がアナウンスされて以降、ようやくpatch適用開始。

本来であればもっと早く作業すべきだったが、本番運用している環境にupstreamからpackageを借りてきている関係で気楽に試せず、SSL証明書の更新が迫ってきたhostがあるのでついにという感じで着手。

案の定一筋縄では行かず、原因はlibssl0.9.8が0.9.8c-4etch3ではなく、0.9.8g-4なせい。

こいつを無理矢理

  $ sudo apt-get -s install libssl0.9.8=0.9.8c-4etch3

でdowngradeすると、本来の意図としてupstreamから借りてるpackage群がボロボロにremoveされるようなので、一旦作業中止。

ここまでの作業で中途半端にupgradeしてしまったせいで、remoteからsshできない状態になっていることに気づき慌てる。

唯一sshのsessionが繋がっているemulatorで頻繁にenter keyを叩いてsessionを維持しながら以降の作業を継続。

# firewallが気を効かせて一定時間以上通信がないとsessionを殺してしまうので、精神衛生上大変良くない。

以前の作業でupstreamの代わりにbackportで環境構築できることは把握していたので、別環境に一式installして何とかなりそうなことまで確認して作業再開。

libssl0.9.8をdowngradeした後、

 $ cd /etc/ssh

 $ sudo mkdir vulnerablekeys_dir

 $ sudo mv ./ssh_host_* ./vulnerablekeys_dir/

 $ sudo dpkg-reconfigure openssh-server

などとやりserver側のkeyを再生成して、remoteから接続できることを確認。

一段落、その後SSL証明書の作業を。