[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:12498] Re: JPCERT/CC REPORT 2001-12-12
-
From:辰己丈夫
-
Date:Wed, 12 Dec 2001 17:53:39 +0900
- Subject: [plamo:12498] Re: JPCERT/CC REPORT 2001-12-12
- From: 辰己丈夫<tatsumi@xxxxxxxxxxxxxxxxxx>
- Date: Wed, 12 Dec 2001 17:53:39 +0900
- Posted: Wed, 12 Dec 2001 17:53:35 +0900
神戸大学の辰己です。
OpenSSH の脆弱性が出ました。
すでに Plamo 用のパッケージを作られている方はおられますでしょうか?
> <<< JPCERT/CC REPORT 2001-12-12 >>>
>
> これは JPCERT/CC が 12/3(月) から 12/7(金) の間に得たセキュリティ関連
> 情報のうち、重要と思われるものを抜粋してまとめたレポートです。
>
> [1] CERT Vulnerability Note VU#157447
> OpenSSH UseLogin directive permits privilege escalation
> http://www.kb.cert.org/vuls/id/157447
>
> FreeBSD Security Advisory FreeBSD-SA-01:63.openssh
> OpenSSH UseLogin directive permits privilege escalation
> ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:63.openssh.asc
>
> OpenBSD project による OpenSSH の 3.0.2 より前のすべてのバージョンでは、
> sshd の設定を UseLogin yes にしている場合、一般ユーザが login プログラム
> の環境変数を設定できるという問題があります。結果として、sshdを動かしてい
> るサーバに公開鍵を登録しているユーザが遠隔から root 権限で任意のコードを
> 実行する可能性があります。
>
> この問題は、配布元の提供するパッチを適用することで解決します。パッチの適
> 用が困難もしくは不可能な場合は、以下のような対策が推奨されています。
>
> (1) sshd の設定でシステムの login プログラムを使用しないようにする
>
> sshd の設定ファイル中で 'UseLogin yes' になっている場合には
> 'UseLogin no' にします。設定ファイルを修正した場合、例えば以下のよ
> うにして設定ファイルの内容を反映させてください。
>
> kill -HUP `head -1 /var/run/sshd.pid`
>
> (2) パッチを適用するまで sshd サービスを無効にする
>
> [2] CERT Vulnerability Note VU#905795
> OpenSSH fails to properly apply source IP based access control restrictions
> http://www.kb.cert.org/vuls/id/905795
>
> OpenSSH 2.9.9 より前のバージョンには、authorized_keys2 ファイルで指定可
> 能な "from=" オプションの扱いに問題があり、"from=" オプションによる IP
> ベースのアクセス制御に問題が発生する可能性があります。結果として、鍵を不
> 正に入手した第三者、もしくは遠隔の第三者が、本来許可されていない IP アド
> レスからアクセスを行う可能性があります。この問題は、配布元の提供するパッ
> チを適用することで解決します。
>
> 関連文書 (英語)
> OpenSSH Security Advisory
> Weakness in OpenSSH's source IP based access control
> for SSH protocol v2 public key authentication
> http://www.openbsd.org/advisories/ssh_option.txt
- Follow-Ups
-
- [plamo:12499] Re: JPCERT/CC REPORT 2001-12-12, KATOH Yasufumi
[検索ページ]
[メール一覧]
Plamo ML 公開システム