パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OpenSSH 5.4~7.1p1に脆弱性、「Roaming」機能で問題が見つかる」記事へのコメント

  • CVE-2016-0778によると
    この脆弱性を使った攻撃が成立するのは以下の二つの条件が揃った場合のみだそうです

    - サーバー側:sshdがクラックされてて,悪意あるコードが仕込まれている場合
    - クライアント側: 下記のオプションのいずれかを使用している場合
    -- ProxyCommand と ForwardAgent (-A)
    -- ProxyCommand と ForwardX11 (-X)

    もちろんアップデートはしておいたほうが安心ですが,実際に被害を受ける可能性はかなり低いようです

    • by Anonymous Coward on 2016年01月18日 17時20分 (#2951258)

      ProxyCommand は普通の人は使っていませんから、基本的には大丈夫ですね。
      2016-0777 も、悪意あるサーバ + ssh-agentなしのクライアントが必要ですし、
      サーバから攻撃を受けている間は connection suspended と表示されるようですから、
      「よく知らないshスクリプト | ssh よく知らないホスト "何かのコマンド"」
      のようなことをしなければ危険は少ないと思います。

      親コメント

ソースを見ろ -- ある4桁UID

処理中...