SSH Communications Security社は、同社の販売・配布しているSSH製品の一部に、認証に関する脆弱性があると発表した。設定項目のうち“Allowed Authentications”エントリでパスワード認証を使わない設定にしていても、SSH ver2クライアントの一部でパスワード認証が有効になってしまうというもの。 公開鍵などによる認証をおこなっている環境でも、初期にパスワード認証でテストしていた場合などは、Allowed Authenticationエントリでオフにしただけでは、意図しない形でパスワード認証が適用されるおそれがある。 この脆弱性は、“Allowed Authentications”のかわりに、“RequiredAuthentications”を使用することで回避できるほか、SSHサーバのアップデートや、パッチを適用して再コンパイルすることで修正できる。 この脆弱性の影響を受ける製品は以下の通り。・SSH Secure Shell for Servers・SSH Secure Shell for Workstations (サーバモードでUNIXクライアントを動作させている場合)・SSH Secure Shell for Windows Servers 3.0〜3.11
