公開日:2002/11/18 最終更新日:2002/11/18

JVNCA-2002-18
OpenSSH サーバプログラムの脆弱性

概要

OpenBSD Project が提供している OpenSSH サーバプログラム sshd に脆弱性が確認されました。
脆弱性は、バッファオーバーフローに関するものであり、結果として、遠隔から第三者が sshd プロセスの権限 (通常、管理者権限) で任意のコードを実行する可能性があります。

影響を受けるシステム

詳細情報

想定される影響

遠隔から第三者が sshd プロセスの権限 (通常、管理者権限) で任意のコードを実行する可能性があります。結果として、脆弱なシステム上の管理者権限を取得する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
アップル Security Update July 2002
Debian ssh -- リモートからの不正利用
FreeBSD
富士通 CA-2002-18に対する富士通の情報
富士通 CA-2002-18に対するSolaris OEの情報
Hewlett-Packard HP-UX上のOpenSSHにおけるセキュリティの脆弱性
Hewlett-Packard opensshにおける脆弱性
OpenBSD セキュリティのための修正: 2002 年 6 月 24 日
OpenSSH Revised OpenSSH Security Advisory
Red Hat OpenSSH パッケージのアップデート
Turbolinux Japan openssh: 悪意のあるユーザーによるroot権限奪取
Vine Linux OpenSSH にセキュリティホール

参考情報

  1. CERT Vulnerability Note VU#369347
    OpenSSH vulnerabilities in challenge response handling
  2. CIAC Bulletin M-095
    OpenSSH Challenge Response Vulnerabilities
  3. Internet Security Systems
    OpenSSH でのリモート チャレンジの脆弱点
  4. V-STAF: openssh-challenge-response-bo (9169)
    OpenSSH の"チャレンジ―レスポンス"型認証でのバッファオーバフロー
  5. LAC
    CERT Advisory CA-2002-18 OpenSSH Vulnerabilities in Challenge Response Handling [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2002-0004
JPCERT/CC Alert 2002-06-27, OpenSSH サーバプログラムの脆弱性に関する注意喚起
JPCERT REPORT JPCERT-WR-2002-2501
JPCERT/CC REPORT 2002-07-03
CERT Advisory CERT Advisory CA-2002-18
OpenSSH Vulnerabilities in Challenge Response Handling
CPNI Advisory
TRnotes
CVE CVE-2002-0639
VU#369347,XF9169
JVN iPedia