「OpenSSH」に悪用可能性が高い脆弱性 - パッチ適用やPW強度の再チェックを

「OpenSSH」のパスワード認証において、試行回数の制限を回避できる脆弱性が7月に発見された。悪用される可能性が高いとして、セキュリティ専門家がパッチの適用や回避策の実施など対策を講じるよう呼びかけている。

問題が指摘されている「CVE-2015-5600」は、「同6.9」および以前のバージョンにおけるパスワード認証処理に存在する脆弱性。認証の試行回数に制限をかけている場合にも、制限時間内であれば制限なく試行できるという。

同脆弱性について、検証を行ったソフトバンク・テクノロジー（SBT）は、悪用が容易であると指摘。ネットワーク機器でデフォルトのパスワードをそのまま利用したり、脆弱なパスワードの利用することは、それだけでも危険だが、同脆弱性によって試行回数の制限を回避されると、辞書などを用いた攻撃がより成功しやすくなる可能性がある。システムが乗っ取られた場合のダメージも大きい。

今回の脆弱性は、パスワード認証において、文字や数字、記号などを不規則に組み合わせ、第三者が予想できない十分な長さを持つ強固なパスワードを用いていれば、影響は小さくなる。

さらに脆弱性そのものは、修正パッチが提供されており、適用することで脆弱性の悪用を防ぐことが可能。対策がすぐ講じることができない場合は、設定変更によって回避できるとし、SBTでは、具体的な設定方法について情報を公開している。

また同社は「OpenSSH」の利用にあたり、公開鍵認証を利用するなど、攻撃を受けにくい環境の整備や、ポート番号の変更など、セキュリティ対策などを呼びかけている。

（Security NEXT - 2015/08/07 ） ツイート

PR

関連記事

前月の更新で「Bamboo」「Jira」など脆弱性14件を修正 - Atlassian
シークレット管理ツール「HashiCorp Vault」に複数の脆弱性
アイ・オー製NAS管理アプリに権限昇格の脆弱性
コンテナ保護基盤「NeuVector」に複数脆弱性 - 「クリティカル」も
GitLab、アップデートを公開 - 脆弱性7件を解消
「BIND 9」にキャッシュポイズニングなど複数脆弱性
端末管理製品「LANSCOPE」の脆弱性狙う攻撃に注意喚起 - 米当局
ZohoのAD管理支援ツールに脆弱性 - アップデートで修正
脆弱性狙われる「Oracle EBS」、定例パッチでさらなる修正
Oracle、定例パッチを公開 - 脆弱性のべ374件を修正