パスワードを忘れた? アカウント作成
12656470 story
バグ

OpenSSH 5.4~7.1p1に脆弱性、「Roaming」機能で問題が見つかる 16

ストーリー by hylom
そんな機能があったのか 部門より
あるAnonymous Coward 曰く、

OpenSSH 5.4から7.1p1に複数の脆弱性が発見された(JVNVU#95595627OpenBSD journal)。発見された脆弱性はクライアントの秘密鍵を含むメモリの内容をサーバー側に送信させられる可能性があるというもの(CVE-2016-0777)と、特定の状況でバッファオーバーフローが発生するというもの(CVE-2016-0778)。

この脆弱性はOpenBSB版だけでなく、各種Linuxディストリビューションに含まれるOpenSSHにも存在するという。回避するには /etc/ssh/ssh_config (一般ユーザなら ~/.ssh/config) に「UseRoaming no」という行を追加する(あるいはsshを起動する際に「-oUseRoaming=no」引数を渡す)。

今回問題となっているRoamingは実験的な機能であり、サーバー側では何年も前から無効だったが、クライアント側では既定で有効になったまま忘れられていたという。そのため、UseRoamingというオプションはマニュアルにも記載されていない。発見者はQualys。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • CVE-2016-0778によると
    この脆弱性を使った攻撃が成立するのは以下の二つの条件が揃った場合のみだそうです

    - サーバー側:sshdがクラックされてて,悪意あるコードが仕込まれている場合
    - クライアント側: 下記のオプションのいずれかを使用している場合
    -- ProxyCommand と ForwardAgent (-A)
    -- ProxyCommand と ForwardX11 (-X)

    もちろんアップデートはしておいたほうが安心ですが,実際に被害を受ける可能性はかなり低いようです

    • by Anonymous Coward

      ProxyCommand は普通の人は使っていませんから、基本的には大丈夫ですね。
      2016-0777 も、悪意あるサーバ + ssh-agentなしのクライアントが必要ですし、
      サーバから攻撃を受けている間は connection suspended と表示されるようですから、
      「よく知らないshスクリプト | ssh よく知らないホスト "何かのコマンド"」
      のようなことをしなければ危険は少ないと思います。

    • by Anonymous Coward

      sshを使う意味から考えたらダメダメですよ。

      大事な処理だからssh使うのにソイツをピンポイントで攻撃できるって。。。

      忘れてたってのが一番の突っ込みどこだが。。。

  • by Anonymous Coward on 2016年01月18日 16時54分 (#2951240)

    https://www.qualys.com/2016/01/14/cve-2016-0777-cve-2016-0778/openssh-... [qualys.com]
    にはかなり詳細な分析がありますし、これを受けて OpenBSD の Ted は
    http://www.tedunangst.com/flak/post/outrageous-roaming-fees [tedunangst.com]
    で今後の対策について私見を述べています。
    ssh-keygen で鍵の格納形式を変更するというプロアクティヴな対策なども参考になります。

  • by Anonymous Coward on 2016年01月18日 16時15分 (#2951220)

    ってなんぞや

    • by Anonymous Coward on 2016年01月18日 16時57分 (#2951244)

      BSBというファイルフォーマットがあることは確認した。地図データ?
      それを取り扱うオープン実装、ということでしょう。

      親コメント
    • by Anonymous Coward

      OpenBSDかな?

      • by Anonymous Coward on 2016年01月18日 17時03分 (#2951247)

        hylomさんが空白を除去する際に自分の仕事を思い出したのでしょう。
        http://srad.jp/submission/63873/ [srad.jp] タレコミ時点では BSD でした。

        親コメント
        • Re:OpenBSB? (スコア:2, 参考になる)

          by Anonymous Coward on 2016年01月18日 17時12分 (#2951252)

          ちなみに、どうでもいいことですが
          「5.4から7.1p1」というのも誤解を招く表現です。
          p は OpenBSD 版をもとに他のプラットフォームでも動くようにした版であり、
          7.1p1 は 7.1 のパッチレベル1 という意味ではありません。
          7.1 という OpenBSD 版が存在し、それは脆弱。
          それを portable にした 7.1p1 も脆弱。
          そこにパッチを当てた 7.1p2 は修正済みです。
          修正した OpenBSD 版は 7.2 になるのでしょう。

          親コメント
    • by Anonymous Coward

      名前間違うとか失礼だなあ
      Linux系なら間違えないだろうに

      代表のThedくん激怒必至

  • by Anonymous Coward on 2016年01月18日 16時59分 (#2951246)

    Moshって、実際に使ってる人どれぐらい居るん?

    • by Anonymous Coward

      とりあえずは+1。
      sshだとしばらく放ってたらセッションが切れることが多くてね。
      moshは数分以上圏外になっても、接続が戻れば大丈夫。

  • by Anonymous Coward on 2016年01月19日 9時42分 (#2951574)

    OSSの場合
     悪用するのは困難!そもそもこんな機能、誰も使ってない!!

    Windowsの場合
     M$製品は危険!ゲイツ死ね!!

    • by Anonymous Coward

      まず、セキュリティ系のソフトでマニュアルに載ってない余計な機能が既定で有効ってのは、
      プロプラなら発狂したレベルで叩かれる、かなりひどい問題だわな。

  • by Anonymous Coward on 2016年01月19日 20時59分 (#2951957)

    OpenBSDのライブシステム「河豚板」でも対策済みの版が出ています;

    FuguIta-5.8-201601162 [fuguita.org]

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...