OpenSSHクライアントに複数の脆弱性が存在することが判明したようです。
脆弱性を利用した攻撃を受けた場合、バッファーオーバーフローや秘密鍵の窃取による個人情報の漏洩の危険性があるようです。
多くLinuxのディストリビューションで影響を受ける可能性が高い脆弱性です。
詳細は参考サイトをご確認ください。
OpenSSH
http://www.openssh.com/txt/release-7.1p2
> * SECURITY: ssh(1): The OpenSSH client code between 5.4 and 7.1
> contains experimental support for resuming SSH-connections (roaming).
JVNVU#95595627: OpenSSH のクライアントに複数の脆弱性
http://jvn.jp/vu/JVNVU95595627/
>悪意あるサーバあるいは第三者に乗っ取られたサーバに SSH ログインすることで、
>SSH 秘密鍵を含む機密情報を取得されたり、設定によっては任意のコードを実行されたりする可能性があります。
>OpenSSH 5.4 から 7.1p1 まで
↓更新が望まれるが、すぐに更新できない場合の対処方法
OpenSSH: client bugs CVE-2016-0777 and CVE-2016-0778
http://undeadly.org/cgi?action=article&sid=20160114142733
># echo -e 'Host *\nUseRoaming no' >> /etc/ssh/ssh_config
なお、SSHクライアントとして一番有名なteratermは影響を受けないようです。
ニュース: OpenSSH 7.1p2 に含まれるセキュリティ修正について - Tera Term - OSDN
https://osdn.jp/projects/ttssh2/news/25192
脆弱性を利用した攻撃を受けた場合、バッファーオーバーフローや秘密鍵の窃取による個人情報の漏洩の危険性があるようです。
多くLinuxのディストリビューションで影響を受ける可能性が高い脆弱性です。
詳細は参考サイトをご確認ください。
OpenSSH
http://www.openssh.com/txt/release-7.1p2
> * SECURITY: ssh(1): The OpenSSH client code between 5.4 and 7.1
> contains experimental support for resuming SSH-connections (roaming).
JVNVU#95595627: OpenSSH のクライアントに複数の脆弱性
http://jvn.jp/vu/JVNVU95595627/
>悪意あるサーバあるいは第三者に乗っ取られたサーバに SSH ログインすることで、
>SSH 秘密鍵を含む機密情報を取得されたり、設定によっては任意のコードを実行されたりする可能性があります。
>OpenSSH 5.4 から 7.1p1 まで
↓更新が望まれるが、すぐに更新できない場合の対処方法
OpenSSH: client bugs CVE-2016-0777 and CVE-2016-0778
http://undeadly.org/cgi?action=article&sid=20160114142733
># echo -e 'Host *\nUseRoaming no' >> /etc/ssh/ssh_config
なお、SSHクライアントとして一番有名なteratermは影響を受けないようです。
ニュース: OpenSSH 7.1p2 に含まれるセキュリティ修正について - Tera Term - OSDN
https://osdn.jp/projects/ttssh2/news/25192
コメント