「OpenSSH」に脆弱性 - 悪用難しいとされるが分析も進む
リモートアクセスに使用される「OpenSSHサーバ」に脆弱性が明らかとなった。当初より悪用は難しいとの見解が示されているが、脆弱性に対する分析も進んでいる。
2022年10月にリリースされた「同9.1」においてダブルフリーの脆弱性「CVE-2023-25136」が明らかとなったもの。一部レポートにおいて、理論上リモートよりコードの実行が可能であるとする報告があるが、アップデートのリリース当初より、脆弱性の悪用は容易ではないとされている。
一方その後、「sshd」のアドレス空間における任意の場所へジャンプが可能であることが判明するなど脆弱性の解析が進み、概念実証(PoC)も公開された。ただし、「ASLR」や「NXビット」「ROP」などのメモリ保護やサンドボックスなど、セキュリティ緩和策が導入されている環境では、これらを回避するさらなるバグが必要であるとされている。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
2月2日に公開された「OpenSSH 9.2」では、同脆弱性を含む2件のセキュリティに関する問題を解消したほか、バグの修正や機能の追加などが行われている。
(Security NEXT - 2023/02/16 )
ツイート
PR
関連記事
まもなくGW - 長期休暇前にセキュリティ対策状況の点検を
「Java SE」にセキュリティ更新 - 脆弱性11件を修正
Oracle、四半期定例パッチをリリース - のべ481件の脆弱性に対応
「Apache Airflow」にRCE脆弱性 - 評価に大きな差
ログ分析基盤「CrowdStrike LogScale」に深刻な脆弱性 - 修正版へ更新を
「MOVEit WAF」に検知回避の深刻な脆弱性 - 早急な対策を
公共交通機関内で端末画面に個人情報表示 - 第三者から指摘
一部イベント賞品で別人の宛名、回収など実施 - 東京観光財団
第三者が従業員名簿を詐取、なりすましに注意喚起 - 日本カーソリューションズ
都で宅建業者の始末書などが所在不明 - 行政処分手続き時に判明
