Hei!
Debian-pohjaisissa Linux-järjestelmien mukana toimitetussa OpenSSL:n versiossa on ollut 17.9.2006 lähtien virhe, jonka seurauksena virheellisellä versiolla luodut SSL- ja SSH-avaimet ovat alttiita hyökkäyksille. Ongelmasta on lisää tietoa osoitteessa http://lists.debian.org/debian-security-announce/2008/msg00152.html.
Ongelman seurauksena Karviaisen SSH-avain vaihdettiin. Tämä aiheuttaa ilmoituksen yhdistettäessä SSH:lla osoitteisiin karviainen.kapsi.fi tai vhost.kapsi.fi. Uuden avaimen tunniste on 26:8b:4a:78:7b:b5:94:1a:f0:aa:c2:ee:24:14:4a:05. PuTTY:ssa avaimen saa päivitettyä valitsemalla ilmoitukseen Accept. Komentoriviltä käytettävässä ssh:ssa avaimen voi poistaa seuraavilla komennoilla:
ssh-keygen -R vhost.kapsi.fi; ssh-keygen -R karviainen.kapsi.fi ssh-keygen -R 217.30.184.170; ssh-keygen -R 217.30.184.182
Saman virheen seurauksena omalle tunnukselle luodut ssh-avaimet ovat heikkoja, mikäli luomiseen on käytetty haavoittuvuuden sisältänyttä versiota. Kapsin palvelimista ongelma on ollut Vhostilla (ja sittemmin Karviaisella) sekä Xobilla 26.12.2008 lähtien. Avaimen päivityksen yhteydessä täytyy tarkistaa kohdekoneen ~/.ssh/authorized_keys-tiedosto, ettei sinne jää vanhoja avaimia. Ylläpito tarkistaa ohjelmallisesti käyttäjien authorized_keys-tiedostoissa olevia avaimia heikkouksien varalta ja tiedottaa ongelmista käyttäjille. Omalla koneella oleva virheellinen OpenSSL täytyy muistaa päivittää ennen uuden avaimen luomista.
Lakalla ja Xobilla olevat SSH:n palvelinavaimet on luotu ennen virheellistä versiota, ja ovat kunnossa. Ongelma koskee myös HTTP:n SSL-avaimia, mutta Kapsilla käytössä olevat avaimet on luotu turvallisella versiolla. Myöskään sähköpostin salaukseen käytetty GPG ei sisällä tätä haavoittuvuutta.