パスワードを忘れた? アカウント作成
12651650 submission
バグ

OpenSSH の 5.4 から 7.1 にクライアント情報漏洩バグ

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
OpenSSH のバージョン 5.4 以降に脆弱性 (CVE-2016-0777 および CVE-2016-0778) が発見された。脆弱な OpenSSH クライアントは、悪意あるサーバに接続した場合にメモリ内から情報を盗み出される危険がある。この脆弱性は OpenBSD 版以外に、各種 Linux ディストリビューションの OpenSSH にも存在するという。回避するには /etc/ssh/ssh_config (一般ユーザなら ~/.ssh/config) に「UseRoaming no」という行を追加する (あるいは ssh を起動する際に -oUseRoaming=no 引数を渡す)。この Roaming は実験的な機能であり、サーバ側では何年も前から無効だったが、クライアント側では既定で有効になったまま忘れられていたという。そのため、UseRoaming というオプションはマニュアルにも記載されていない。発見者は Qualys。

情報元へのリンク
この議論は、 ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...