| エンタープライズ:ニュース | 2003/09/17 05:19:00 更新 |
OpenSSHに脆弱性、「悪用」の噂も
オープンソースの通信暗号化プログラム「OpenSSH」に、バッファ管理のエラーに起因するセキュリティホールが存在する。最新版である3.7.1へのバージョンアップが必要だ。
オープンソースの通信暗号化プログラム「OpenSSH」に、バッファ管理のエラーに起因するセキュリティホールが存在することが明らかになった。
OpenSSHのWebサイトに掲載されたアドバイザリによると、問題が存在するのはOpenSSH 3.7以前のバージョン。最新版の3.7.1にバージョンアップするか、アドバイザリに記された3.7用もしくは3.6.1以前のバージョン用のパッチを適用することで問題を回避できる。なお最新版ではセキュリティ問題のフィックスに加え、認証機能などいくつかの機能追加、変更も施されている。
ただ気になることに、SANS(Internet Storm Center)によると、悪用コード(Exploit)こそ公になっていないものの、いくつかのISPのマシンが、この脆弱性を足がかりに危険にさらされたという噂が流れており、最新バージョンへのアップグレードが推奨されるという。またアップグレードやパッチの適用が困難な場合は、信頼できないIPアドレスからポート22番へのアクセスを遮断するか、権限分離機能を有効にすることで問題を緩和できるという。
なお同じくSANSによると、この脆弱性の影響が及ぶのはLinuxなどのプラットフォームで、OpenBSDなどでは影響がないということだ。
関連リンク
OpenSSH[ITmedia]
