OpenSSHにセキュリティホール、3.1リリース

OpenSSHにセキュリティホール、3.1リリース 14

ストーリー by wakatono 2002年03月08日 15時48分
該当者は即入れ替えを部門より

k3c 曰く、 "本家記事より。アカウントを持つユーザーがroot権限を取れてしまうというバグがOpenSSHのバージョン2.0～3.0.2に見つかったそうです。OpenSSHのSecurity Advisoryに載っているパッチを見ると、1ヶ所で">="が">"になっていただけという、とても微妙なバグです…。既に3.1が出ているようなので至急アップグレードすべし。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索14コメント Log In/Create an Account

[FYI] Debian, NetBSD pkgsrc は更新済み (スコア:2, 参考になる)

by visha (779) on 2002年03月08日 18時00分 (#70091) 日記

手許にある情報つことで。

Debianのssh_3.0.2p1-8、NetBSD pkgsrc の openssh-3.0.2.1nb2には、件のパッチが当たっています。

それにしても、MSのセキュリティがどーたらこーたら言われていても俺にとってはしょせん対岸の火事でしかないんだが、opensshの穴は影響がでかい。管理しているUNIX系のホストというホストではopensshが動いてるし、管理自体が激しくこいつに依存してるからね。ひーひー言いながら全部のホストのopensshを入れ替えましたとさ。
- Re:[FYI] Debian, NetBSD pkgsrc は更新済み (スコア:1)
  
  by daemontools (1932) on 2002年03月08日 19時11分 (#70120)
  
  全サーバのopenssh入れ替えなんて、泣きそうだ。。。
  
  --
  -- daemontools.
  
  シェア
  
  親コメント
  - Re:[FYI] Debian, NetBSD pkgsrc は更新済み (スコア:0)
    
    by Anonymous Coward
    
    だからこそ、rpmなりのパッケージシステムを使えばいいんじゃ？
    自動配布して、そのあと、opeenを停止して、アップデートして、opensshを
    動かすスクリプト書いてばらまいてます
クライアントのみの利用でも危険では？ (スコア:2, 参考になる)

by ryoryoryo (5621) on 2002年03月09日 0時38分 (#70220) ホームページ日記

友人とのメールのやりとりで「でもうちは SSH で入れるユーザ全員 wheel だから放置でもいいよね」と言われてしまったのですが、もしかしてこういう認識の人はけっこういるんじゃないでしょうか？

OpenSSH Security Advisory (adv.channelalloc) [openbsd.org] の
2. Impact:

This bug can be exploited locally by an authenticated user
logging into a vulnerable OpenSSH server or by a malicious
SSH server attacking a vulnerable OpenSSH client.
では (exploited) by a malicious SSH server attacking a vulnerable OpenSSH client と言っており、悪意のある SSH サーバ (これに欠陥があるかどうかはおそらく無関係) が欠陥のあるバージョンの OpenSSH クライアントを攻撃できるということのように思えます。

接続先の SSH サーバがクラックされていないという確証が得られるのでなければ欠陥のあるバージョンの OpenSSH クライアントで接続するのはリスクのある行為だと言えるでしょう。
特に接続先の SSH サーバが OpenSSH 2.0 ～ 3.0.2 までで今まで運用されていたのであれば、この危険は低くないのではないかと。大学などで多くのユーザが SSH でログインできる環境であればなおさらです。

自宅の Linux / *BSD マシンから大学などの共用マシンの SSH サーバに slogin しているヒトは /.-J でもけっこう多そうですが、たとえば
・悪戯者が共用マシンの root を乗っ取る
・乗っ取った共用マシンの SSH サーバを attacking 用にする
・他のユーザが接続してくるのを待つ
といった攻撃スキームが成立しそうです。油断めされませぬよう。

参考：OpenSSH 情報 [unixuser.org]
- Re:クライアントのみの利用でも危険では？ (スコア:1)
  
  by zeissmania (3689) on 2002年03月09日 1時50分 (#70235)
  
  ＞こういう認識の人はけっこういるんじゃないでしょうか？
  年末にも危険度の高い穴が見つかって、その時も大慌てで入れ替えましたが、放置プレイの人多いんでしょうねぇ。
  その穴を狙っているのか、
  Did not receive identification string from 62.138.131.246.
  とか
  scanned from 62.138.131.246 with SSH-1.0-SSH_Version_Mapper. Don't panic.
  なんてのがWebServerのログに残っております。逆引きできないIPなんだけど、アメリカ方面の模様。
  
  シェア
  
  親コメント
  - Re:クライアントのみの利用でも危険では？ (スコア:0)
    
    by Anonymous Coward
    
    とりあえず外から受け付けるポートは 22 番以外に変更しておくといいですよ。
TurboLinux用rpm (スコア:1)

by zeissmania (3689) on 2002年03月08日 17時04分 (#70073)

3.1のLinux用はまだのようですが．．．。
TurboLinux7用の最新安定版2.9p2-6にpatchを当てたrpmを作りましたので、TL7ユーザーの方はどうぞ。
こちら [s34.co.jp]
＃TurboLinux7用なので、他のディストロには合わないかも知れませんので、ご注意を。
- Re:TurboLinux用rpm (スコア:1)
  
  by masaru (2119) on 2002年03月08日 17時37分 (#70083) ホームページ
  
  もうすぐあげるから待ってネ
  
  シェア
  
  親コメント
  - Linux用（というかSource）を落としてみたが…… (スコア:1)
    
    by APM (4160) on 2002年03月08日 19時22分 (#70125)
    
    ソースはあったので、落としてきて./configureしたら、
    
    configure: error: Your OpenSSL headers do not match your library
    
    と言われてmakeできません。因みにopensslは0.9.6cです。
    
    シェア
    
    親コメント
    - Re:Linux用（というかSource）を落としてみたが…… (スコア:1)
      
      by kyle (3923) on 2002年03月08日 19時52分 (#70138) 日記
      
      configure 中にかかる文言は見あたらんのですが、いったいどこから何を落としてきたのでしょうか？
      
      configure: error: Your OpenSSL headers do not match your library
      と言われてmakeできません。
      
      もともと /usr/include/openssl/ に入っていたヘッダと、自分で /usr/local/lib/ に入れたライブラリのバージョンが違う、とかそういうのでは？
      
      シェア
      
      親コメント
      - Re:Linux用（というかSource）を落としてみたが…… (スコア:1)
        
        by dcdc (4077) on 2002年03月08日 20時35分 (#70151) ホームページ日記
        
        自分もここ [openssh.com]の
        kddlabsから落として、ついでにOpenSSLも0.9.6cにして
        作り直しましたが、特にエラーは出ませんでしたね。
        
        RedHat Linux 6.2Jですけど。
        
        --
        
        本当かい♪本当かい♪
        
        シェア
        
        親コメント
      - Re:Linux用（というかSource）を落としてみたが…… (スコア:1)
        
        by APM (4160) on 2002年03月08日 22時45分 (#70171)
        
        仰る通り、ライブラリの指定を間違えてました。
        
        失礼しました!!
        
        さあて、今日は徹夜だな……(^^;;;
        
        シェア
        
        親コメント
  - Re:TurboLinux用rpm (スコア:0)
    
    by Anonymous Coward
    
    アガタ [turbolinux.co.jp]。CVSだけど
てーへんなのにレスポンスが少ないのは… (スコア:1)

by bugbird (4706) on 2002年03月08日 19時45分 (#70135) ホームページ日記

みんな血相変えて対応作業しているからだろうな…　なんたってあんた、今日は "Thanks God, it's Friday!" だし。

…って、うちもついさっきまで大騒ぎだったんだけどな sigh...

--
--- Toshiboumi bugbird Ohta

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

OpenSSHにセキュリティホール、3.1リリース 14

OpenSSHにセキュリティホール、3.1リリース More ログイン

[FYI] Debian, NetBSD pkgsrc は更新済み (スコア:2, 参考になる)

Re:[FYI] Debian, NetBSD pkgsrc は更新済み (スコア:1)

Re:[FYI] Debian, NetBSD pkgsrc は更新済み (スコア:0)

クライアントのみの利用でも危険では？ (スコア:2, 参考になる)

Re:クライアントのみの利用でも危険では？ (スコア:1)

Re:クライアントのみの利用でも危険では？ (スコア:0)

TurboLinux用rpm (スコア:1)

Re:TurboLinux用rpm (スコア:1)

Linux用（というかSource）を落としてみたが…… (スコア:1)

Re:Linux用（というかSource）を落としてみたが…… (スコア:1)

Re:Linux用（というかSource）を落としてみたが…… (スコア:1)

Re:Linux用（というかSource）を落としてみたが…… (スコア:1)

Re:TurboLinux用rpm (スコア:0)

てーへんなのにレスポンスが少ないのは… (スコア:1)

スラド