ニュース
2005/03/30 18:57 更新
Telnetクライアントに脆弱性、広範なOSに影響
iDEFENSEによると、FreeBSDやSolaris、Mac OS Xなど、広範なOSに含まれているTelnetクライアントに、2種類のバッファオーバーフローの脆弱性が存在する。
FreeBSDやSolaris、Mac OS Xなど、広範なOSに含まれているTelnetクライアントに、2種類の脆弱性が存在する。
セキュリティ企業のiDEFENSEが3月28日付けで公開したアドバイザリによれば、Telnetクライアントの「slc_add_reply()」および「env_opt_add()」関数に、それぞれバッファオーバーフローの脆弱性が存在する。悪用されれば、Telnetクライアントが動作している権限で、任意のコードを実行される恐れがあるという。
具体的なシナリオとしては、悪意あるTelnetサーバに接続し、細工を施した文字列を受け取ってしまうと任意のコードを実行される可能性がある。また、攻撃者によってタグに細工が施されたWebページにアクセスすると、ユーザーにはそのつもりがなくとも悪意あるTelnetサーバに接続させられ、同じ結果に陥る恐れがある。
iDEFENSEによるとこの脆弱性の影響を受けるのは、MIT Kerberosのほか、FreeBSDやMac OS X、Red Hat Linux、Debian、Solarisに含まれるTelnetクライアント。逆にHP-UXやTru64 UNIXなどに含まれるTelnetには、この脆弱性は存在しない。
問題を解消するには、各ベンダーが提供を始めているパッチや修正プログラムを適用すること。
またUS-CERTでは、LINEMODEオプションを無効にすればコマンドの実行を防げるため、一時的な対処策になるとしている。さらに、信用できないTelnetサーバやWebページに不用意にアクセスしないことも問題を回避する有効な手段となる。何より根本的な策として、SSHなど、Telnetよりも安全なリモートアクセス手法を採用することも検討されるべきだろう。
関連リンク
[ITmedia]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
「ノートPCの持ち出し禁止」だけで大丈夫?
トップエンジニア村上氏と上野氏が競演!
技術者不在でも「すぐに使える」
業務でオープンソースは不安、は過去のこと
「どこでもオフィス」で業務効率アップ!![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
1日の処理を1秒にも――MySQLの達人が語る
「Windows 7搭載PC」で何が変わったのか?
IT基盤をアウトソースした中堅中小企業たち
@IT「Windows 7」 特設サイトオープン!
「設備」「ネットワーク」「マネジメント」
かつての日本の成功体験はもう通じない
@ITメールソリューションLive! in Tokyo
経営層が信頼から企業価値を生むために
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター