Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「OpenSSH」に悪用可能性が高い脆弱性 - パッチ適用やPW強度の再チェックを

「OpenSSH」のパスワード認証において、試行回数の制限を回避できる脆弱性が7月に発見された。悪用される可能性が高いとして、セキュリティ専門家がパッチの適用や回避策の実施など対策を講じるよう呼びかけている。

問題が指摘されている「CVE-2015-5600」は、「同6.9」および以前のバージョンにおけるパスワード認証処理に存在する脆弱性。認証の試行回数に制限をかけている場合にも、制限時間内であれば制限なく試行できるという。

同脆弱性について、検証を行ったソフトバンク・テクノロジー(SBT)は、悪用が容易であると指摘。ネットワーク機器でデフォルトのパスワードをそのまま利用したり、脆弱なパスワードの利用することは、それだけでも危険だが、同脆弱性によって試行回数の制限を回避されると、辞書などを用いた攻撃がより成功しやすくなる可能性がある。システムが乗っ取られた場合のダメージも大きい。

今回の脆弱性は、パスワード認証において、文字や数字、記号などを不規則に組み合わせ、第三者が予想できない十分な長さを持つ強固なパスワードを用いていれば、影響は小さくなる。

さらに脆弱性そのものは、修正パッチが提供されており、適用することで脆弱性の悪用を防ぐことが可能。対策がすぐ講じることができない場合は、設定変更によって回避できるとし、SBTでは、具体的な設定方法について情報を公開している。

また同社は「OpenSSH」の利用にあたり、公開鍵認証を利用するなど、攻撃を受けにくい環境の整備や、ポート番号の変更など、セキュリティ対策などを呼びかけている。

(Security NEXT - 2015/08/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

サイト改ざんチェックサービスに「WordPress」の脆弱性診断機能
ウェブブラウザ「Vivaldi」のWindows版インストーラに脆弱性
「ColdFusion」に複数の脆弱性 - ホットフィクスをリリース
バッファローのネットワークカメラ「WNC01WH」に脆弱性
Oracle、定例更新で「Java SE」の脆弱性8件を修正
Oracleが定例パッチをリリース - 脆弱性299件に対応
「Drupal」のRESTモジュールに深刻な脆弱性 - 影響考慮し非サポート版向けにも更新
帳票ツール「風神レポート」のビューアソフトに脆弱性
IIJ製ルータ「SEILシリーズ」にサービス拒否の脆弱性 - 修正版ファームウェアが公開
「花子」など複数のジャストシステム製品に脆弱性 - 悪用は未確認