現在位置: ホーム / セキュリティ ブログ / OpenSSHクライアントの脆弱性(CVE-2016-0777/CVE-2016-0778)

OpenSSHクライアントの脆弱性(CVE-2016-0777/CVE-2016-0778)

OpenSSHクライアントの脆弱性(CVE-2016-0777/CVE-2016-0778)についてまとめてます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

1月15日にOpenSSHクライアントの脆弱性(CVE-2016-0777/CVE-2016-0778)が発覚しました。今回は、最新版で修正されているこの脆弱性についてまとめてみます。

情報は逐次更新します。



関連するCVE

CVE-2016-0777,CVE-2016-0778

Priority

Moderate

影響するバージョン

OpenSSH Client 5.4から7.1 (6.6を除く)

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2016-0777
    • roaming機能のバグによるPrivate Keyなどの漏洩の可能性

    • 重要度 - 中

    • OpenSSH 5.4から加わったroaming機能(接続断時に再接続を自動で行う機能)中にバグがあり、Private Keyなどが漏洩する可能性があります。

  • CVE-2016-0778
    • roaming機能のバグによるBuffer Overflow攻撃の可能性

    • 重要度 - 中

    • OpenSSH 5.4から加わったroaming機能中にバグがあり、悪意のあるOpenSSHサーバからOpenSSHクライアントに対してBuffer Overflow攻撃を行う事が出来ます。


主なディストリビューションの対応方法

OpenSSH5.4以降で追加された部位で発生するため、5.3以前のバージョンのOpenSSHを使用している場合には、今回の脆弱性は発生しません。

詳細は、各ディストリビューションの提供元にご確認ください

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン