JVNDB-2006-000587

OpenSSH の sshd における CPU リソース大量消費の脆弱性

OpenSSH には、SSH1 プロトコルを有効にしている場合に、sshd がパケット内の CRC (巡回冗長検査) を適切に処理できずに CPU リソースを大量に消費してしまう脆弱性が存在します。

OpenBSD

• OpenSSH 4.3/4.3p2 およびそれ以前

アップル

• Apple Mac OS X v10.3.9
• Apple Mac OS X v10.4 から v10.4.8 までのバージョン
• Apple Mac OS X Server v10.3.9
• Apple Mac OS X Server v10.4 から v10.4.8 までのバージョン

サン・マイクロシステムズ

• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 
• Sun Solaris 9 (sparc) 
• Sun Solaris 9 (x86) 

ターボリナックス

• Turbolinux 10_f 
• Turbolinux Appliance Server 1.0 (hosting) 
• Turbolinux Appliance Server 1.0 (workgroup) 
• Turbolinux Appliance Server 2.0  
• Turbolinux Desktop 10 
• Turbolinux FUJI
• Turbolinux Multimedia
• Turbolinux Personal
• Turbolinux Server 10  
• Turbolinux Server 10 (x64) 
• Turbolinux Server 7  
• Turbolinux Server 8  
• ターボリナックス ホーム 

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 

ブルーコートシステムズ

• ProxySG 4.2
• ProxySG 4.3
• ProxySG 5.2

ミラクル・リナックス

• Asianux Server 2.1 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 2.1 (as) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 2.1 (es) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 2.1 (ws) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Linux Advanced Workstation 2.1 

CPU リソースの大量消費により、OpenSSH サーバがサービス運用妨害 (DoS) 状態となる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

OpenBSD

• OpenSSH : OpenSSH 4.4 released

アップル

• Apple Downloads : Security Update 2007-003 (10.3.9 Client)
• Apple Downloads : Security Update 2007-003 (10.3.9 Server)
• Apple Security Updates : Security Update 2007-003
• Apple セキュリティアップデート : Security Update 2007-003
• アップル ソフトウェアアップデート : Security Update 2007-003 (10.3.9 Client)
• アップル ソフトウェアアップデート : Security Update 2007-003 (10.3.9 Server)

サン・マイクロシステムズ

• Sun Alert Notification : 102962

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2006-34
• ターボリナックス株式会社 : TLSA-2006-34

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02178
• HP セキュリティ報告 : HPSBUX02178

ブルーコートシステムズ

• Security Advisories : ssh_server_on_sg

ミラクル・リナックス

• MIRACLE LINUX アップデート情報 : 444
• MIRACLE LINUX アップデート情報 : 543

レッドハット

• Red Hat Security Advisory : RHSA-2006:0697
• Red Hat Security Advisory : RHSA-2006:0698
• レッドハット セキュリティーアップデート : RHSA-2006:0697
• レッドハット セキュリティーアップデート : RHSA-2006:0698

1. CVE-2006-4924

1. JVN : JVNTA07-072A
2. JVN : JVNVU#787448
3. JVN Status Tracking Notes : TRTA07-072A
4. National Vulnerability Database (NVD) : CVE-2006-4924
5. US-CERT Cyber Security Alerts : SA07-072A
6. US-CERT Vulnerability Note : VU#787448
7. US-CERT Technical Cyber Security Alert : TA07-072A
8. Secunia Advisory : SA22091
9. SecurityFocus : 20216

• [2007年04月01日]
    掲載
  [2007年04月20日]
    影響を受けるシステムを更新しました。
    ベンダ情報: アップルの情報を追加しました。
  [2007年06月14日]
    影響を受けるシステムを更新しました。
    ベンダ情報: サン・マイクロシステムズの情報を追加しました。
  [2009年11月16日]
    影響を受けるシステム：ブルーコートシステムズ (ssh_server_on_sg) の情報を追加
    ベンダ情報：ブルーコートシステムズ (ssh_server_on_sg) を追加