アカウント名:
パスワード:
CVE-2016-0778によるとこの脆弱性を使った攻撃が成立するのは以下の二つの条件が揃った場合のみだそうです
- サーバー側:sshdがクラックされてて,悪意あるコードが仕込まれている場合- クライアント側: 下記のオプションのいずれかを使用している場合-- ProxyCommand と ForwardAgent (-A)-- ProxyCommand と ForwardX11 (-X)
もちろんアップデートはしておいたほうが安心ですが,実際に被害を受ける可能性はかなり低いようです
ProxyCommand は普通の人は使っていませんから、基本的には大丈夫ですね。2016-0777 も、悪意あるサーバ + ssh-agentなしのクライアントが必要ですし、サーバから攻撃を受けている間は connection suspended と表示されるようですから、「よく知らないshスクリプト | ssh よく知らないホスト "何かのコマンド"」のようなことをしなければ危険は少ないと思います。
sshを使う意味から考えたらダメダメですよ。
大事な処理だからssh使うのにソイツをピンポイントで攻撃できるって。。。
忘れてたってのが一番の突っ込みどこだが。。。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
実際に被害を受ける可能性はかなり少ない (スコア:4, 参考になる)
CVE-2016-0778によると
この脆弱性を使った攻撃が成立するのは以下の二つの条件が揃った場合のみだそうです
- サーバー側:sshdがクラックされてて,悪意あるコードが仕込まれている場合
- クライアント側: 下記のオプションのいずれかを使用している場合
-- ProxyCommand と ForwardAgent (-A)
-- ProxyCommand と ForwardX11 (-X)
もちろんアップデートはしておいたほうが安心ですが,実際に被害を受ける可能性はかなり低いようです
Re: (スコア:0)
ProxyCommand は普通の人は使っていませんから、基本的には大丈夫ですね。
2016-0777 も、悪意あるサーバ + ssh-agentなしのクライアントが必要ですし、
サーバから攻撃を受けている間は connection suspended と表示されるようですから、
「よく知らないshスクリプト | ssh よく知らないホスト "何かのコマンド"」
のようなことをしなければ危険は少ないと思います。
Re: (スコア:0)
sshを使う意味から考えたらダメダメですよ。
大事な処理だからssh使うのにソイツをピンポイントで攻撃できるって。。。
忘れてたってのが一番の突っ込みどこだが。。。