OpenSSHに脆弱性、秘密鍵流出の恐れ

悪質なサーバを使って悪用された場合、クライアントユーザーの秘密鍵を含むクライアントメモリが流出する恐れがある。

» 2016年01月15日 07時22分 公開
[鈴木聖子ITmedia]

 「OpenSSH」に情報流出の脆弱性が見つかり、1月14日にリリースされた更新版で修正された。秘密鍵が流出する恐れもあることから、米セキュリティ機関のCERT/CCなどはできるだけ早急に対応するよう呼び掛けている。

 CERT/CCやOpenSSHが公開したセキュリティ情報によると、OpenSSHクライアントコードのバージョン5.4〜7.1p1では、SSH接続の再開(ローミング)が実験的にサポートされた。サーバコードにはこの機能は実装されていないものの、クライアントコードではデフォルトで有効になっており、悪質なサーバを使って悪用された場合、クライアントユーザーの秘密鍵を含むクライアントメモリがそのサーバにリークされる恐れがある。

修正版はOpenSSH 7.1p2となる

 米SANS Internet Storm Centerではこの脆弱性について、2014年に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性と類似点はあるものの、今回の脆弱性が悪用できるのはエンドユーザーが悪質なサーバに接続した場合のみであることから、Heartbleedの方がはるかに深刻だったと解説している。

 脆弱性は「OpenSSH 7.1p2」で修正された。アップデートできないユーザーのために、回避策も紹介されている。

主要ベンダーでの影響の有無(CERT/CCより)

変更履歴……初出時に記事タイトルおよび本文に一部誤りがありました。修正しました。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ