アカウント名:
パスワード:
CVE-2016-0778によるとこの脆弱性を使った攻撃が成立するのは以下の二つの条件が揃った場合のみだそうです
- サーバー側:sshdがクラックされてて,悪意あるコードが仕込まれている場合- クライアント側: 下記のオプションのいずれかを使用している場合-- ProxyCommand と ForwardAgent (-A)-- ProxyCommand と ForwardX11 (-X)
もちろんアップデートはしておいたほうが安心ですが,実際に被害を受ける可能性はかなり低いようです
ProxyCommand は普通の人は使っていませんから、基本的には大丈夫ですね。2016-0777 も、悪意あるサーバ + ssh-agentなしのクライアントが必要ですし、サーバから攻撃を受けている間は connection suspended と表示されるようですから、「よく知らないshスクリプト | ssh よく知らないホスト "何かのコマンド"」のようなことをしなければ危険は少ないと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
実際に被害を受ける可能性はかなり少ない (スコア:4, 参考になる)
CVE-2016-0778によると
この脆弱性を使った攻撃が成立するのは以下の二つの条件が揃った場合のみだそうです
- サーバー側:sshdがクラックされてて,悪意あるコードが仕込まれている場合
- クライアント側: 下記のオプションのいずれかを使用している場合
-- ProxyCommand と ForwardAgent (-A)
-- ProxyCommand と ForwardX11 (-X)
もちろんアップデートはしておいたほうが安心ですが,実際に被害を受ける可能性はかなり低いようです
Re:実際に被害を受ける可能性はかなり少ない (スコア:0)
ProxyCommand は普通の人は使っていませんから、基本的には大丈夫ですね。
2016-0777 も、悪意あるサーバ + ssh-agentなしのクライアントが必要ですし、
サーバから攻撃を受けている間は connection suspended と表示されるようですから、
「よく知らないshスクリプト | ssh よく知らないホスト "何かのコマンド"」
のようなことをしなければ危険は少ないと思います。