2007-10-21

OpenSSL 0.9.8fのソースコードに埋め込まれているバージョン表記に問題があり、OpenSSHが再コンパイルし直さないと正常に動作しなくなります。その後、リリースされたOpenSSL 0.9.8gは問題が修正されていますが、既にOpenSSL 0.9.8fにアップデートしてOpenSSHを再コンパイルしていた場合は、また問題が出ます。以下、失敗パターンと成功パターンのログ。

• NG: OpenSSL 0.9.8e -> OpenSSL 0.9.8f
  • OpenSSHを再コンパイルすれば直りますが、その前にOpenSSL 0.9.8gを入れてしまえば問題は出ません。

# /etc/init.d/sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd: OpenSSL version mismatch. Built against 90805f, you have 908070
                                                           [FAILED]

• NG: OpenSSL 0.9.8f + OpenSSH再コンパイル済み -> OpenSSL 0.9.8g
  • OpenSSHを再コンパイルすれば直ります。

# /etc/init.d/sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd: OpenSSL version mismatch. Built against 908070, you have 90807f
                                                           [FAILED]

• OK: OpenSSL 0.9.8e -> OpenSSL 0.9.8g

# /etc/init.d/sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

また、OpenSSHには、–without-openssl-header-check というオプションがありますが、これが付いてコンパイルされたOpenSSHであってもこの問題は起こるようです。

[2007/10/23追記]: –without-openssl-header-check オプションはconfigure時のチェックを飛ばすもので、コンパイルされたバイナリ実行時には影響しないそうです。