【活用ガイド】

JVNDB-2002-000138

OpenSSH の sshd におけるバッファオーバーフローの脆弱性

概要

OpenSSH には、(1) チャレンジ/レスポンス方式の認証の実装時、(2) PAM 認証の実装時、においてバッファオーバーフローの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的

影響を受けるシステム


OpenBSD
  • OpenSSH 1.2.3 およびそれ以前
  • OpenSSH 2.1.1 およびそれ以前
  • OpenSSH 2.2.0
  • OpenSSH 2.3.1 およびそれ以前
  • OpenSSH 2.5.2p2 およびそれ以前
  • OpenSSH 2.9p2 およびそれ以前
  • OpenSSH 2.9.9
  • OpenSSH 3.0.2p1 およびそれ以前
  • OpenSSH 3.1
  • OpenSSH 3.2.3 およびそれ以前
  • OpenSSH 3.3
サン・マイクロシステムズ
  • Sun Solaris 9 (SPARC)
  • Sun Cobalt RaQXTR
ヒューレット・パッカード
  • HP-UX 11.00
  • HP-UX 11.11
レッドハット
  • Red Hat Linux 7.0
  • Red Hat Linux 7.1
  • Red Hat Linux 7.2
  • Red Hat Linux 7.3

想定される影響

sshd の実行権限で任意のコマンドを実行される可能性があります。
対策

ベンダ情報及び参考情報を参照して適切な対策を実施してください。
ベンダ情報

OpenBSD
  • OpenBSD : Top Page (2007/01/04 現在 本脆弱性に関する情報は確認できませんでした)
サン・マイクロシステムズ ヒューレット・パッカード レッドハット
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2002-0639
  2. CVE-2002-0640
参考情報

  1. JVN : JVNCA-2002-18
  2. National Vulnerability Database (NVD) : CVE-2002-0639
  3. JPCERT 緊急報告 : JPCERT-AT-2002-0004
  4. JPCERT REPORT : JPCERT-WR-2002-2501
  5. JPCERT REPORT : JPCERT-WR-2002-2701
  6. CERT Advisory : CA-2002-18
  7. US-CERT Vulnerability Note : VU#369347
  8. CIAC Bulletins : M-095
  9. SecurityFocus : 5093
  10. X-Force セキュリティアラート&アドバイザリ : OpenSSH でのリモート チャレンジの脆弱点
更新履歴

[2007年04月01日]
  掲載