パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OpenSSH 5.4~7.1p1に脆弱性、「Roaming」機能で問題が見つかる」記事へのコメント

  • CVE-2016-0778によると
    この脆弱性を使った攻撃が成立するのは以下の二つの条件が揃った場合のみだそうです

    - サーバー側:sshdがクラックされてて,悪意あるコードが仕込まれている場合
    - クライアント側: 下記のオプションのいずれかを使用している場合
    -- ProxyCommand と ForwardAgent (-A)
    -- ProxyCommand と ForwardX11 (-X)

    もちろんアップデートはしておいたほうが安心ですが,実際に被害を受ける可能性はかなり低いようです

    • by Anonymous Coward

      ProxyCommand は普通の人は使っていませんから、基本的には大丈夫ですね。
      2016-0777 も、悪意あるサーバ + ssh-agentなしのクライアントが必要ですし、
      サーバから攻撃を受けている間は connection suspended と表示されるようですから、
      「よく知らないshスクリプト | ssh よく知らないホスト "何かのコマンド"」
      のようなことをしなければ危険は少ないと思います。

    • by Anonymous Coward

      sshを使う意味から考えたらダメダメですよ。

      大事な処理だからssh使うのにソイツをピンポイントで攻撃できるって。。。

      忘れてたってのが一番の突っ込みどこだが。。。

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...