「OpenSSH」に脆弱性 - 悪用難しいとされるが分析も進む
リモートアクセスに使用される「OpenSSHサーバ」に脆弱性が明らかとなった。当初より悪用は難しいとの見解が示されているが、脆弱性に対する分析も進んでいる。
2022年10月にリリースされた「同9.1」においてダブルフリーの脆弱性「CVE-2023-25136」が明らかとなったもの。一部レポートにおいて、理論上リモートよりコードの実行が可能であるとする報告があるが、アップデートのリリース当初より、脆弱性の悪用は容易ではないとされている。
一方その後、「sshd」のアドレス空間における任意の場所へジャンプが可能であることが判明するなど脆弱性の解析が進み、概念実証(PoC)も公開された。ただし、「ASLR」や「NXビット」「ROP」などのメモリ保護やサンドボックスなど、セキュリティ緩和策が導入されている環境では、これらを回避するさらなるバグが必要であるとされている。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
2月2日に公開された「OpenSSH 9.2」では、同脆弱性を含む2件のセキュリティに関する問題を解消したほか、バグの修正や機能の追加などが行われている。
(Security NEXT - 2023/02/16 )
ツイート
PR
関連記事
「Adobe Acrobat/Reader」にゼロデイ脆弱性 - 悪用を確認、緊急更新を
金融機関を装うフィッシングメールに警戒を - 報告が増加中
子会社で一部サーバがランサム被害、詳細を調査 - システムソフト
総務省の行政不服審査DB掲載裁決書に個人情報 - 沖縄県
燃料調達システムに不正アクセス、情報が流出 - 日本郵船
取引情報含むATMの記録ドライブ2台が所在不明 - ローソン銀
感染確認ツール「EmoCheck」に脆弱性 - Emotet収束、利用停止を
若年層向け合宿イベント「セキュキャン2026」のエントリーがスタート
「抹茶シリーズ」に脆弱性、アップデートで修正 - OSS版は動作検証用
Palo Alto、「Cortex XSOAR」など複数製品で脆弱性を修正
