「OpenSSH」に悪用可能性が高い脆弱性 - パッチ適用やPW強度の再チェックを
「OpenSSH」のパスワード認証において、試行回数の制限を回避できる脆弱性が7月に発見された。悪用される可能性が高いとして、セキュリティ専門家がパッチの適用や回避策の実施など対策を講じるよう呼びかけている。
問題が指摘されている「CVE-2015-5600」は、「同6.9」および以前のバージョンにおけるパスワード認証処理に存在する脆弱性。認証の試行回数に制限をかけている場合にも、制限時間内であれば制限なく試行できるという。
同脆弱性について、検証を行ったソフトバンク・テクノロジー(SBT)は、悪用が容易であると指摘。ネットワーク機器でデフォルトのパスワードをそのまま利用したり、脆弱なパスワードの利用することは、それだけでも危険だが、同脆弱性によって試行回数の制限を回避されると、辞書などを用いた攻撃がより成功しやすくなる可能性がある。システムが乗っ取られた場合のダメージも大きい。
今回の脆弱性は、パスワード認証において、文字や数字、記号などを不規則に組み合わせ、第三者が予想できない十分な長さを持つ強固なパスワードを用いていれば、影響は小さくなる。
さらに脆弱性そのものは、修正パッチが提供されており、適用することで脆弱性の悪用を防ぐことが可能。対策がすぐ講じることができない場合は、設定変更によって回避できるとし、SBTでは、具体的な設定方法について情報を公開している。
また同社は「OpenSSH」の利用にあたり、公開鍵認証を利用するなど、攻撃を受けにくい環境の整備や、ポート番号の変更など、セキュリティ対策などを呼びかけている。
(Security NEXT - 2015/08/07 )
ツイート
PR
関連記事
Linuxにroot権限を取得される脆弱性「Stack Clash」
HPEのサーバ監視ソフト「HPE SiteScope」に脆弱性
「WordPress」用ジョブボード追加プラグインに脆弱性 - リモートから画像ファイルがアップロード可能に
バックアップソフト「Acronis True Image」の更新機能に脆弱性
WordPress向けカレンダープラグインにXSSの脆弱性
「Apache HTTP Web Server」に複数の脆弱性 - 最新版で修正
MS、国家関与などで脅威高まる脆弱性を公表 - 旧OSにパッチ供給、ゼロデイ脆弱性にも対応
BINDに脆弱性や不具合が判明 - Windows版のインストーラにも
「BIND 9」に複数の深刻な「脆弱性」 - 異常終了するおそれ
「Adobe Captivate」のクイズ機能に情報漏洩の脆弱性
