SSHサーバの認証機能に脆弱性。パスワード認証を使わない設定でもパスワード認証でログインできる、と | RBB TODAY

SSHサーバの認証機能に脆弱性。パスワード認証を使わない設定でもパスワード認証でログインできる、と

エンタープライズ その他

 SSH Communications Security社は、同社の販売・配布しているSSH製品の一部に、認証に関する脆弱性があると発表した。設定項目のうち“Allowed Authentications”エントリでパスワード認証を使わない設定にしていても、SSH ver2クライアントの一部でパスワード認証が有効になってしまうというもの。

 公開鍵などによる認証をおこなっている環境でも、初期にパスワード認証でテストしていた場合などは、Allowed Authenticationエントリでオフにしただけでは、意図しない形でパスワード認証が適用されるおそれがある。

 この脆弱性は、“Allowed Authentications”のかわりに、“RequiredAuthentications”を使用することで回避できるほか、SSHサーバのアップデートや、パッチを適用して再コンパイルすることで修正できる。

 この脆弱性の影響を受ける製品は以下の通り。

・SSH Secure Shell for Servers
・SSH Secure Shell for Workstations
 (サーバモードでUNIXクライアントを動作させている場合)
・SSH Secure Shell for Windows Servers 3.0〜3.11
《RBB TODAY》

編集部のおすすめ記事

page top