JVNDB-2013-001782

JVNDB-2013-001782
OpenSSH のデフォルト設定におけるサービス運用妨害 (DoS) の脆弱性
概要
OpenSSH のデフォルト設定は、TCP 接続の確立とログイン完了までの一定の時間制限を適切に処理しないため、サービス運用妨害 (コネクションスロットの枯渇) 状態となる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 5.0 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的
影響を受けるシステム

OpenBSD OpenSSH 6.1 までオラクル XCP 1118 未満 SPARC Enterprise M3000 サーバ SPARC Enterprise M4000 サーバ SPARC Enterprise M5000 サーバ SPARC Enterprise M8000 サーバ SPARC Enterprise M9000 サーバ

想定される影響
第三者により、周期的に多数の TCP 接続が新しく生成されることで、サービス運用妨害 (コネクションスロットの枯渇) 状態にされる可能性があります。
対策
ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報
OpenBSD OpenSSH : Top Page OpenSSH : Revision 1.89 OpenSSH : Revision 1.156 OpenSSH : Revision 1.234 オラクル Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices SECURITY BLOG : CVE-2010-5107 Denial of Service vulnerability in SSH SECURITY BLOG : January 2015 Critical Patch Update Released ターボリナックス Turbolinux Security Advisory : TLSA-2015-11 レッドハット Red Hat Bugzilla : Bug 908707
CWEによる脆弱性タイプ一覧 CWEとは?
設計上の問題(CWE-DesignError) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2010-5107
参考情報
National Vulnerability Database (NVD) : CVE-2010-5107
更新履歴
[2013年03月11日] 掲載 [2013年05月27日] ベンダ情報：オラクル (CVE-2010-5107 Denial of Service vulnerability in SSH) を追加 [2015年01月22日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加ベンダ情報：オラクル (January 2015 Critical Patch Update Released) を追加 [2015年04月30日] べンダ情報：ターボリナックス (TLSA-2015-11) を追加


公表日	2013/03/07
登録日	2013/03/11
最終更新日	2015/04/30

OpenSSH のデフォルト設定におけるサービス運用妨害 (DoS) の脆弱性