Re: [ja-discuss] SSH秘密鍵の扱いについて
おはようございます。 khiranoさん、「現在調査中です」とのことでしたが現在も当件について 調査中でしょうか。調査途中であっても、これまでに分かっている範囲で 事実関係や経過等について教えてはもらえないでしょうか。 私信メールとML上とでいくつか問い合わせいただいてますが、調査に必要な 情報については回答済みのつもりでいます。見落とし等あれば、指摘なり 催促なりをお願いします。 現在、具体的な対策のひとつとしてコミット権の整理が行われていますが、 具体的な事案として何が起きてどう対応したのかを明らかにするのは、 再発防止や自分たちの活動が何物であるかの再認識など様々な観点から やはり重要だと思いますので。 - To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
Re: Re: Re: [ja-discuss] SSH秘密鍵の扱いについて
おはようございます。 > -元のメッセージ- > 差出人: "Kazunari Hirano" > <[メールアドレス保護]> > 受取人: "discuss@ja.openoffice.org" > CC: > "[メールアドレス保護]" > <[メールアドレス保護]>,"Takamichi > Akiyama" > <[メールアドレス保護]> > 日付: 07/07/13 02:21 > 件名: Re: Re: [ja-discuss] SSH秘密鍵の扱いについて > 再度おうかがいします。 > On 7/10/07, > [メールアドレス保護] > <[メールアドレス保護]> > wrote: > > 2006年12月の時点で、 http://ja.openoffice.org/source/browse/ > > で上記内容を「確認」できました。 > 確認されたのは、kihirano で間違いなかったでしょうか。 一部に書き損じがあり、混乱させてしまい申し訳ありません。 以下の両ディレクトリ以下のすべてのファイルが「khirano」アカウントによるものと「視認」しました。「kihirano」ではありません。 http://ja.openoffice.org/khirano_opens_SSH2_DSA_KEY_to_the_public_on_his_web_site/ http://ja.openoffice.org/compliance/www/kuronekoyamato/co/jp/ また当方には、この際のスクリーンショット等の記録はありません。 以上で、調査や確認のための情報は足りるでしょうか。 - To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
Re: Re: [ja-discuss] SSH秘密鍵の扱いについて
ooousr さん、 再度おうかがいします。 On 7/10/07, [メールアドレス保護] <[メールアドレス保護]> wrote: 2006年12月の時点で、 http://ja.openoffice.org/source/browse/ で上記内容を「確認」できました。 確認されたのは、kihirano で間違いなかったでしょうか。 Thanks, khirano - To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
Re: [ja-discuss] SSH秘密鍵の扱いについて
http://www.openoffice.org/issues/show_bug.cgi?id=22143 http://www.openoffice.org/issues/show_bug.cgi?id=75627 古いものは廃棄、新しいものを登録しました。 ooousr氏は「http://ja.openoffice.org/source/browse/ で確認した限り、このページはkihirano氏のアカウントで作成されており」とおっしゃっていますので、視認したのがkihiranoで間違いなかったかどうか確認しています。 Thanks, khirano - To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
Re: [ja-discuss] SSH秘密鍵の扱いについて
Yです。 On Tue, 10 Jul 2007 08:38:18 +0900 Kazunari Hirano wrote: > 了解。つまりooousrさんの「視認」だけで、記録、スクリーンショットなどはないということですね。 検索してみると… http://www.openoffice.org/issues/buglist.cgi?%E3%82%AF%E3%82%A8%E3%83%AA%E3%81%AE%E5%AE%9F%E8%A1%8C=%E3%82%AF%E3%82%A8%E3%83%AA%E3%81%AE%E5%AE%9F%E8%A1%8C&issue_type=DEFECT&issue_type=ENHANCEMENT&issue_type=FEATURE&issue_type=TASK&issue_type=PATCH&component=www&subcomponent=openoffice.org+CVS&issue_status=RESOLVED&issue_status=VERIFIED&issue_status=CLOSED&resolution=FIXED&priority=P1&priority=P2&priority=P3&priority=P4&priority=P5&rep_platform=All&rep_platform=DEC&rep_platform=HP&rep_platform=Macintosh&rep_platform=Palm+PDA&rep_platform=PC&rep_platform=SGI&rep_platform=Sun&rep_platform=Other&rep_platform=PowerPC&rep_platform=Opteron%2Fx86_64&op_sys=All&op_sys=Windows+3.1&op_sys=Windows+95&op_sys=Windows+98&op_sys=Windows+ME&op_sys=Windows+2000&op_sys=Windows+NT&op_sys=Windows+XP&op_sys=Windows+2003&op_sys=Windows%2C+all&op_sys=Windows+Vista&op_sys=Unix%2C+X11&op_sys=Mac+System+7&op_sys=Mac+System+7.5&op_sys=Mac+System+7.6.1&op_sys=Mac+System+8.0&op_sys=Mac+System+8.5&op_sys=! Mac+System+8.6&op_sys=Mac+System+9.0&op_sys=Mac+OS+X&op_sys=Palm+OS+3.x&op_sys=Palm+OS+4.x&op_sys=Linux&op_sys=BSDI&op_sys=FreeBSD&op_sys=NetBSD&op_sys=OpenBSD&op_sys=AIX&op_sys=BeOS&op_sys=HP-UX&op_sys=IRIX&op_sys=Neutrino&op_sys=OpenVMS&op_sys=OS%2F2&op_sys=OSF%2F1&op_sys=Solaris&op_sys=SunOS&op_sys=other&version=current&target_milestone=---&email1=&emailtype1=exact&emailassigned_to1=1&email2=khirano&emailtype2=exact&emailreporter2=1&issueidtype=include&issue_id=&changedin=&votes=&chfieldfrom=&chfieldto=%E7%8F%BE%E5%9C%A8&chfieldvalue=&short_desc=&short_desc_type=allwords&long_desc=&long_desc_type=allwords&issue_file_loc=&issue_file_loc_type=fulltext&status_whiteboard=&status_whiteboard_type=fulltext&keywords=&keywords_type=anytokens&field0-0-0=noop&type0-0-0=noop&value0-0-0=&cmdtype=doit&order=%E6%9C%80%E5%BE%8C%E3%81%AB%E8%A1%8C%E3%81%A3%E3%81%9F%E3%82%BD%E3%83%BC%E3%83%88%E6%9D%A1%E4%BB%B6%E3%82%92%E5%86%8D%E4%BD%BF%E7%94%A8%E3%81%99%E3%82%8B http://www.openoffice.org/issues/show_bug.cgi?id=22143 http://www.openoffice.org/issues/show_bug.cgi?id=75627 この2つのissueが出てきます。 On Wed, 4 Jul 2007 23:29:13 +0900 shu minari wrote: > b624206c23794c65d836a9e5a11a872e id_dsa > 42a44b3b9794369ce0e1463c6529293a id_dsa.pub 上記のissueから平野さんの古い方の公開鍵が確認できます。すると,MD5合うん ですよね。ですから,少なくとも公開されていた公開鍵は平野さんのものである ことが分かります。 しかし,issueの新しい方を見れば分かるとおり,再度登録されているようです。 この辺の流れについて,平野さんからご説明いただければ問題が放置されている のかどうかがはっきりしてみんな安心できると思うのですが,いかがお考えでしょ うか。 Y (Yosuke Kato) - To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
Re: Re: [ja-discuss] SSH秘密鍵の扱いについて
On 7/10/07, [メールアドレス保護] <[メールアドレス保護]> wrote: 2006年12月の時点で、 http://ja.openoffice.org/source/browse/ で 上記内容を「確認」できました。 2007年1月に該当ページのファイル自体が削除されて 以降は同方法での「確認」はできません。 了解。つまりooousrさんの「視認」だけで、記録、スクリーンショットなどはないということですね。 Thanks, khirano - To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
Re: Re: [ja-discuss] SSH秘密鍵の扱いについて
おはようございます。 > 差出人: "Kazunari Hirano" > <[メールアドレス保護]> > 受取人: "discuss@ja.openoffice.org" > CC: > "[メールアドレス保護]" > <[メールアドレス保護]> > 日付: 07/07/05 14:15 > 件名: Re: [ja-discuss] SSH秘密鍵の扱いについて > > http://ja.openoffice.org/source/browse/ で確認した限り、 > > このページはkihirano氏のアカウントで作成されており > http://ja.openoffice.org/source/browse/ > で「確認」ができないのですが、どのように「確認」されたのか教えていただけますか。 先に書いたとおりです。 2006年12月の時点で、 http://ja.openoffice.org/source/browse/ で上記内容を「確認」できました。 2007年1月に該当ページのファイル自体が削除されて以降は同方法での「確認」はできません。 - To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
Re: Re: [ja-discuss] SSH秘密鍵の扱いについて
おはようございます。 返信いただいたみなさん、いろいろと情報をありがとうございました。 まとめてここにつなげさせてもらいたいと思います。 > 差出人: "Takashi Nakamoto" > <[メールアドレス保護]> > 受取人: "discuss@ja.openoffice.org" > 日付: 07/07/06 15:33 > 件名: Re: [ja-discuss] SSH秘密鍵の扱いについて > ご報告ありがとうございます。ただ、 > http://ja.openoffice.org/inquery.html > を見ていただければ分かるのですが、このような問題については個人宛ではな > くて > [メールアドレス保護] > にご一報いただけると助かります。今後とも、よろしくお願いいたします。 お恥ずかしながら、この指摘をいただくまでこの連絡先には半年以上も思い当たりませんでした。 正規コンテンツの不具合連絡先という先入観があり、つい、リード宛の連絡をしてしまいました。 以後気をつけたいと思います。(普通は2度もこんなことに遭遇しないとは思いますが) > -元のメッセージ- > 差出人: "shu minari" > <[メールアドレス保護]> > 受取人: "discuss@ja.openoffice.org" > 日付: 07/07/04 23:29 > 件名: Re: [ja-discuss] Re: SSH秘密鍵の扱いについて > CVSは仕組み上、元を消すためには、サーバ上の管理者権限(恐らくはコラボネットの人間が持っている)が必要です。 > 管理権限者が介在しているため、もし、漏れていたのであれば何らかの処置がされたと推測されます。 > > しかし、jaのCVS上にあったことからjaのOwnerに連絡が行っていた可能性はありますが、 > ssh関連の管理は、ja以外のところ(sunの人かな?どこのだれ?やろ)が行っていますので、 > そこに聞かないとわからないと思います。 管理者権限が関わって元から削除されたのだろうということは、自分の理解とも合っています。 よって何らかの対処や対策が行われたのだろうと考えているのですが、 これまで何の連絡も報知も変化もないためこの場で確認したいと思いました。 引き続き、何か関連した話題をご存知の方はお教えください。よろしくお願いします。 - To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
Re: [ja-discuss] SSH秘密鍵の扱いについて
現在調査中です。 On 7/6/07, Takashi Nakamoto <[メールアドレス保護]> wrote: On Mon, 02 Jul 2007 05:41:42 +0900 <[メールアドレス保護]> wrote: > http://ja.openoffice.org/source/browse/ で確認した限り、 > このページはkihirano氏のアカウントで作成されており これが「確認」できません。ooousrさんに「確認」した方法を尋ねているところです。 Thanks, khirano - To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
Re: [ja-discuss] SSH秘密鍵の扱いに ついて
[メールアドレス保護] On Mon, 02 Jul 2007 05:41:42 +0900 <[メールアドレス保護]> wrote: > これまでに何度かmaho氏に個人的にメールしていましたが、ご多忙のためか > 回答をいただけなかったので、このたびこちらへ投稿することにしました。 > 以下の件について、何か情報をご存知の方がいましたらお教えください。 > > 昨年末、数ヶ月間にわたってOOo日本ユーザー会のサイト内に以下のようなページがあり、 > そこにはkhirano氏のSSH秘密鍵がwww.transwift.netのサイト上で公開されている > ことが具体的なアドレスつきで書かれていました。 > (現在は、ユーザー会のページも、www.transwift.netの該当ページも、削除済み) > > http://ja.openoffice.org/khirano_opens_SSH2_DSA_KEY_to_the_public_on_his_web_site/www_transwift_net.txt > > http://ja.openoffice.org/source/browse/ で確認した限り、このページは > kihirano氏のアカウントで作成されており、SSH秘密鍵が流出したと思われます。 今は確認できないようになっていると思います。 CVSのログも完全に消されているようです。 > (ほぼ同時期に以下のようなページも作られ、こちらはディレクトリ自体は > まだ残されているようです) > http://ja.openoffice.org/compliance/www/kuronekoyamato/co/jp/2195-2920-2045.html > http://ja.openoffice.org/source/browse/ja/www/compliance/www/kuronekoyamato/co/jp/ ご報告ありがとうございます。ただ、 http://ja.openoffice.org/inquery.html を見ていただければ分かるのですが、このような問題については個人宛ではな くて [メールアドレス保護] にご一報いただけると助かります。今後とも、よろしくお願いいたします。 > 以上をまとめまして、 > ・SSH秘密鍵の流出はあったのか? > ・それに対して、どのような対処や対策がなされたのか? > について、何かご存知の方はお教えください。 とりあえず、私のかなり前にチェックアウトしたCVSの作業ディレクトリにそ れらしきものがありましたので即刻削除しました。また、他にも公開されてい るところにあったもの(一応、アドレスはふせておきます)をサーバ管理者に削 除していただくようにお願いし、つい先日削除していただきました。 すでにOOoのCVSサーバからCVSのログごと消されているようですので、それな りに対処されているとは思います。ただ、当事者と思われる平野さんからの連 絡は何もありませんでしたし、OOo日本語プロジェクトのスタッフでも知らな かった人はいるみたいで、私も驚いているところです。 それで、このことについてすでに適切に対処なされているのでしょうか?セキュ リティの関係上言及できないこともあろうかと思いますが、なにか問題があった のであればきちんと報告してください。 > 平野さん -- 中本 崇志 (Takashi Nakamoto) E-mail: [メールアドレス保護] Homepage: http://bd.tank.jp/ Blog: http://bd.tank.jp/diary/ - To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
Re: [ja-discuss] SSH秘密鍵の扱いについて
ooousr さん、 On 7/2/07, [メールアドレス保護] <[メールアドレス保護]> wrote: http://ja.openoffice.org/source/browse/ で確認した限り、 このページはkihirano氏のアカウントで作成されており http://ja.openoffice.org/source/browse/ で「確認」ができないのですが、どのように「確認」されたのか教えていただけますか。 よろしくお願いいたします。 Thanks, khirano - To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]