速報
» 2005年02月22日 22時29分 UPDATE

PuTTYに2つの整数オーバーフローの脆弱性、最新版へのアップデートを

Windows上で動作するTelnet/SSHクライアント「Putty」のバージョン0.56以前に、2つの整数オーバーフローの脆弱性が存在する。

[ITmedia]

 Windows上で動作するTelnet/SSHクライアント「Putty」に、2つの整数オーバーフローが存在することが明らかになった。

 開発元では問題を修正した新バージョン「PuTTY 0.57」を公開し、できるだけ早くアップグレードするよう呼びかけている。

 Secuniaによれば、この脆弱性が存在するのはPuTTY 0.56以前で、深刻さは「中」程度。sftp.cの中のfxp_readdir_recv()ファンクションとfxp_open_recv()ファンクションにそれぞれ整数オーバーフローが存在し、悪意あるFXP_READDIRコマンドを送り込んだり、悪意あるSFTPサーバから細工を施した文字列を送り込むことで、PuTTYが動作している権限で任意のコードを実行される可能性があるという。ただし、これらの脆弱性を突いた攻撃が成功するには、ホスト側の鍵検証が成功しておく必要がある。

 問題の修正方法はバージョン0.57へのアップグレード。それが不可能な場合は、SFTPについては別のクライアントを用いるべきという。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -