OpenSSH is a FREE version of the SSH connectivity tools that technical users of the Internet rely on. |
OpenSSHに特定の暗号方式を使った場合にメモリ破壊が発生するセキュリティ脆弱性があることが発表された。OpenSSH 6.2およびOpenSSH 6.3が影響を受ける。一時的に問題を回避するには設定などでAES-GCM暗号(aes128-gcm@openssh.comまたはaes256-gcm@openssh.com)を無効化すればよい。OpenSSH 6.4へアップグレードするか、またはOpenSSH Security Advisory: gcmrekey.advに掲載されているパッチを適用してOpenSSH 6.2またはOpenSSH 6.3を再構築することで対処できる。
このセキュリティ脆弱性はAES-GCMをサポートしたOpenSSLを使ってビルドされたOpenSSH 6.2およびOpenSSH 6.3において発生する問題。鍵の交換時にAES-GCM暗号が使われていると、認証処理の後でメモリ破壊が発生する。この脆弱性を利用されると任意のコードがそのユーザの権限で実行される危険性があるという。
この問題が特定されたのは11月7日とされている。OpenSSHはネットワークを経由してシステムの運用や開発を実施するための要となるソフトウェア。該当している場合には迅速な対応が推奨される。