1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. OpenSSHに情報漏えいの脆弱性、更新版プログラムが公開

OpenSSHに情報漏えいの脆弱性、更新版プログラムが公開

OpenSSHに情報漏えいの脆弱性、更新版プログラムが公開SSHを用いた通信暗号化の仕組みである「OpenSSH」に情報漏えいの脆弱性があることがわかり、OpenSSHの作者は、3月9日、この問題を修正する更新版の「OpenSSH 7.2p2」を公開した。また、3月11日には、この脆弱性に関する注意を呼びかける文書がUS-CERTによって公開されている。

脆弱性の影響を受けるシステムは、OpenSSH 7.2p2よりも前の全バージョンで、「X11フォワーディング機能」を有効化している場合に影響を受ける。認証されたユーザーの権限により、ファイルを取得される、ファイルの上書き、情報の漏えいなどが生じる可能性がある。

この機能は、初期状態では無効化されており、通常の設定になっている限り、ユーザーの権限以上の操作は行われないことになっていることから、脆弱性の影響範囲は比較的限定的との見方もある。

サーバー管理者やプログラム開発者は、脆弱性への対策として、OpenSSHを用いる各ソフトウェアベンダーの情報をもとに、更新版へアップデートすることが推奨される。また、「X11フォワーディング機能」を初期状態の無効に戻す回避策(ワークアラウンド)が公開されている。

・(英文)OpenSSHによるセキュリティアドバイザリ
・(英文)US-CERTによる注意喚起
OpenSSH、情報流出の脆弱性を修正(ITmedia)
OpenSSHに情報窃取の脆弱性(マイナビニュース)


日立ソリューションズの関連ソリューション

サイバー攻撃対策ソリューション

サイバー攻撃対策ソリューション

高度化する標的型攻撃、マルウェア、DDoS攻撃に加え、リスト型攻撃、オンライン不正送金などに対応する最適なサイバー攻撃対策をコンサルテーションからシステム運用・監視までトータルに提供します。

詳しく見る

関連キーワード:
0
参考になったらボタンを押してね
情報セキュリティブログ10周年記念企画
  • DROWN(ドラウン)とは
  • カテゴリートップへ
  • 「TeslaCrypt」「Locky」ランサムウェアの感染を狙ったメール攻撃が一週間で20万件以上検出される