japan.internet.comThe Internet & IT Network
Twitter
RSS
  • ニュース
  • コラム
  • リサーチ
  • ヘッドライン
  • 特集
  • ブログ
  • プレスリリース
  • 専門チャンネル
  • イベント
  • ランキング
  • ニュースメール
2009年11月22日
文字サイズ文字サイズ小文字サイズ中文字サイズ大
今年も各携帯キャリアが冬モデルを発表!買う予定はありますか?
今年中に買う予定
来年には買う予定
しばらく買う予定はない
現在の携帯が壊れるまで買わない
投票締切 11/23 12:00
Webテクノロジー2003年9月18日 00:00

『OpenSSH』に DoS 攻撃につながり得る脆弱性

海外海外internet.com発の記事
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • Buzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
CERT/CC は16日、OpenBSD Project のセキュア接続性パッケージ『OpenSSH』の一部の版に、バッファ管理に関する脆弱性があるとするセキュリティ警告を出した。

CERT/CC によると、同脆弱性は OpenSSH 3.7.1 より前の全ての版に存在し、サービス不能化 (DoS) 攻撃の引き金になりうるほか、攻撃者に任意のプログラムコード実行を許すおそれもあるという。問題となる版の OpenSSH のコードをそのまま利用したり、改変して利用しているシステムも、同じ脆弱性を持つ可能性があるという。

セキュリティ警告によれば、同脆弱性は OpenSSH のバッファ管理コードの中に存在し、「大きなパケット用にバッファを割り当てる際、問題が発生する。バッファ初期化時に、誤ってバッファ外のメモリ領域までゼロを書き込んでしまう」という。

OpenSSH は、telnet/rlogin/rsh/ftp プロトコルの代替として、セキュリティを強化した SSH プロトコル実装パッケージのオープンソース版。Linux や Unix 系 OS の各ディストリビューションに付属しており、多くのサイトで導入している。

同脆弱性がおよぼす影響の全容については、まだ判明していないものの、CERT/CC は、最も起こり得る状況として「ヒープ領域破壊」を挙げ、DoS 攻撃につながると警告している。

システム管理者は、脆弱性を解消した OpenSSH 3.7.1 へのアップグレードなり、ベンダーが配布する修正パッチの適用を急ぐべきだ。OpenSSH でも、パッチコードを公開している。

当面の対処方法として、sshd の設定ファイル内で「UsePrivilegeSeparation」オプションを有効にすると、攻撃を受けた時の被害をある程度抑え得るという。しかしこの対処方法では、攻撃そのものを防ぐことはできないと、CERT/CC は警告している。

関連テーマ
  • プリンター用
  • 記事を転送
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • BuzzurlにブックマークBuzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
最新トップニュース
Graphic Design Forum
【Graphic Design Forum】
流動的媒体と静的媒体に関する見解(11月18日)
「IT の耳」
「IT の耳」
【書評】『Hyper-V スタートアップバイブル』――仮想化についてのすぐれた解説書(11月20日)
百式のネットビジネス研究
百式のネットビジネス研究
世界でもっともパワフルな iPod のスピーカー「Wall of Sound」(11月20日)
週刊-サイト別アクセス状況データ
週刊-サイト別アクセス状況データ
ビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)(11月19日)
海外ソーシャルウェブに学ぶ成功の秘訣
海外ソーシャルウェブに学ぶ成功の秘訣
ゲーム業界を襲う世界的な激震。ソーシャルゲーム急成長のインパクト(11月19日)
今さら聞けない初歩からのアクセス解析
今さら聞けない初歩からのアクセス解析
サイトリニューアル前のアクセス解析活用法(11月19日)
成約率、反応率を上げる Web 文章術
成約率、反応率を上げる Web 文章術
文章力を磨き、キャッシュを生み出す Web サイト に(11月19日)
「Webからの脅威」―その傾向と最新対策
「Webからの脅威」―その傾向と最新対策
新たな対策技術:スパムフィルタリングと E-mail レピュテーション(11月18日)
ROI向上のための戦略的WebPR
ROI向上のための戦略的WebPR
「戦略的 WebPR」のしかけ方〜WebPR の効果測定手法とは〜(11月18日)
スマートにソーシャルウェブを構築しよう
スマートにソーシャルウェブを構築しよう
社員力を生かすソーシャルメディアポリシー(11月17日)
DevX
DevX
Erlangを使った並列処理プログラムの作成(11月17日)
Copyright 2009 Japan Internet.com K.K. All Rights Reserved.http://www.internet.com/