編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

OpenSSHにプライベートキー窃取につながる深刻な脆弱性

Zack Whittaker (Special to ZDNet.com) 翻訳校正: 編集部

2016-01-15 10:11

 Secure Shellプロトコルを使ってリモート接続を行う際に使われるOpenSSHに、深刻な脆弱性が発見され、パッチが公開された。このセキュリティホールは、ユーザーが接続を復旧できるようにするための「実験的」な機能に含まれていた。

 このセキュリティホールに関する情報が開示されたメーリングリストによれば、これを悪用することで、悪意のあるサーバが脆弱性のあるクライアントのメモリ内容(クライアントのプライベートキーを含む)のリークを引き起こさせることができる。

 影響を受けるコードは、OpenSSHのクライアントバージョン5.4から7.1で、デフォルトで有効になっている。メーリングリストの情報によれば、この機能に対応するサーバ側のコードが公開されたことはない。

 クライアント側のローミング機能が無効になっていれば、この問題の影響は受けない。

 現在、セキュリティパッチ(バージョン7.1p2)が、OpenSSHのプロジェクトページで公開されている。

 パッチのリリースノートによれば、サーバのホストキーを使用した認証が行われるため、中間者攻撃による悪用はできず、情報漏洩先は悪質なサーバへの接続に限られるという。

 このセキュリティホールは何年もの間存在していたもので、Qualysのセキュリティアドバイザリチームによって発見された。

 Qualysの最高技術責任者(CTO)Wolfgang Kandek氏は、メールの中で、同社はこのバグに関する情報を米国時間1月11日にOpenSSHのチームに開示したと述べ、同チームは「驚くほど素早く」対応し、わずか3日でパッチを公開したと称賛している。

 Qualysはその後米国時間1月14日に、概念実証コードを含む長い記事を公開したため、影響を受けるすべてのOpenSSHクライアントには素早い対応が必要となる。

 この脆弱性は、過去にOpenSSHに発見されたセキュリティホールの中でもっとも深刻なものの1つだと考えられている。

 セキュリティ研究者Kenneth White氏のTwitterでの発言によれば、OpenSSHは世界のサーバの70%以上でリモートアクセスツールとして使われている。

 またWhite氏はその後のメールで、このソフトウェアは多くの商用ルータおよびファイアウォールでも使用されていると述べている。

 同氏によれば、Red Hat、CentOS、Amazon Linuxの各ディストリビューションには、「おおむね」影響がないという。しかし、影響を受けているディストリビューションもある。

 Canonicalはアドバイザリの中で、Ubuntuのバージョン12.04、14.04、15.04、および15.10がこの脆弱性の影響を受けると述べている。Red Hat Enterprise Linux(RHEL)のバージョン4、5、6には影響はないが、2015年3月以前のRHEL 7の一部のバージョンは、このバグの影響を受ける。

 White氏は電子メールの中で、影響の大きさは「判断が難しい」と述べている。

 同氏によれば、他のシステム(例えばバックアップサーバ)に接続することのある何十万台ものLinuxサーバには、管理者のSSHの鍵が盗まれている危険がある。

 影響を受ける読者は、一刻も早くパッチを適用して欲しい。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]