ニュース
OpenSSHに脆弱性、テキストリカバリ攻撃の恐れ:多数のバージョンに脆弱性か
この脆弱性を悪用された場合、攻撃者がSSH接続経由で暗号文の任意のブロックから最大32ビットのプレーンテキストを取り出せるという。
米SANS Internet Storm Centerや英CPNIは、OpenSSHにプレーンテキストリカバリ攻撃の脆弱性が見つかったと伝えた。
アドバイザリーによると、この脆弱性を悪用された場合、攻撃者がSSH接続経由で暗号文の任意のブロックから最大32ビットのプレーンテキストを取り出せるという。
脆弱性はOpenSSH 4.7p1までのバージョンで確認された。ただし、RFC準拠のSSHはいずれも何らかの形でこの攻撃に対して脆弱であることが予想されるとCPNIは指摘。ほかのSSHプロトコル実装も影響を受ける可能性があるとしている。
CPNIによれば、この脆弱性の潜在的な危険度は高いが、攻撃が成功する確率は低いという。直接的な回避策として、CBCモードではなくCTRモードを使うことを挙げている。
OpenSSHは7月に最新バージョンの5.1が公開されているが、SANSによれば、Ubuntu 8.04はまだOpenSSH 4.7p1を使っているとの報告が寄せられている。
関連記事
- Debian OpenSSLの脆弱性はあなたのシステムにも影響する
DebianのOpenSSLパッケージに脆弱性が見つかった事件。自分のシステムはDebianでもUbuntuでもないから安心だと思っているサーバ管理者は、それが大きな間違いであることに一刻も早く気づき、対策を施すべきである。 - OpenSSLの脆弱性突くブルートフォース攻撃発生、簡単に暗号解読の恐れ
脆弱なSSH鍵を攻撃して力ずくで暗号を解読してしまうスクリプトが出回っている。 - 古いOpenSSHが攻撃のターゲットに、JPCERT/CCが注意喚起
JPCERT/CCによると、脆弱性が残ったままの古いOpenSSHを用いているサーバが攻撃を受けたケースが複数報告されているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.