JVNDB-2006-000588

JVNDB-2006-000588
OpenSSH の GSSAPI 認証におけるシグナルハンドラで競合状態が発生する脆弱性
概要
OpenSSH には、GSSAPI (Generic Security Service Application Programming Interface) 認証を有効にしている場合に、シグナルハンドラで競合状態が発生する脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 8.1 (重要) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 CVSS v2 による深刻度基本値: 9.3 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム

OpenBSD OpenSSH 4.3/4.3p2 およびそれ以前アップル Apple Mac OS X v10.3.9 Apple Mac OS X v10.4 から 10.4.8 までのバージョン Apple Mac OS X Server v10.3.9 Apple Mac OS X Server v10.4 から 10.4.8 までのバージョンサイバートラスト株式会社 Asianux Server 2.1 Asianux Server 3.0 Asianux Server 3.0 (x86-64) ターボリナックス Turbolinux 10_f Turbolinux Appliance Server 1.0 (hosting) Turbolinux Appliance Server 1.0 (workgroup) Turbolinux Appliance Server 2.0 Turbolinux Desktop 10 Turbolinux FUJI Turbolinux Multimedia Turbolinux Personal Turbolinux Server 10 Turbolinux Server 10 (x64) Turbolinux Server 7 Turbolinux Server 8 ターボリナックスホームヒューレット・パッカード HP-UX 11.11 HP-UX 11.23 レッドハット Red Hat Enterprise Linux 2.1 (as) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 2.1 (es) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 2.1 (ws) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux Desktop 3.0 Red Hat Enterprise Linux Desktop 4.0 Red Hat Linux Advanced Workstation 2.1

想定される影響
OpenSSH サーバがクラッシュしサービス運用妨害 (DoS) 状態となる、あるいは潜在的に任意のコードを実行される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
OpenBSD OpenSSH : OpenSSH 4.4 released アップル Apple Downloads : Security Update 2007-003 (10.3.9 Client) Apple Downloads : Security Update 2007-003 (10.3.9 Server) Apple Security Updates : Security Update 2007-003 Apple セキュリティアップデート : Security Update 2007-003 アップルソフトウェアアップデート : Security Update 2007-003 (10.3.9 Client) アップルソフトウェアアップデート : Security Update 2007-003 (10.3.9 Server) サイバートラスト株式会社 MIRACLE LINUX アップデート情報 : openssh (V2.1) MIRACLE LINUX アップデート情報 : openssh (V3.0) ターボリナックス Turbolinux Security Advisory (英語) : TLSA-2006-34 製品セキュリティ情報 : TLSA-2006-34 ヒューレット・パッカード HP Security Bulletin : HPSBUX02178 HP セキュリティ報告 : HPSBUX02178 レッドハット Red Hat Security Advisory : RHSA-2006:0697 Red Hat Security Advisory : RHSA-2006:0698 レッドハットセキュリティーアップデート : RHSA-2006:0697 レッドハットセキュリティーアップデート : RHSA-2006:0698
CWEによる脆弱性タイプ一覧 CWEとは?
二重解放(CWE-415) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2006-5051
参考情報
JVN : JVNVU#851340 JVN : JVNTA07-072A JVN Status Tracking Notes : TRTA07-072A National Vulnerability Database (NVD) : CVE-2006-5051 US-CERT Cyber Security Alerts : SA07-072A US-CERT Vulnerability Note : VU#851340 US-CERT Technical Cyber Security Alert : TA07-072A SecurityFocus : 20241
更新履歴
[2007年04月01日] 掲載 [2007年04月20日] 影響を受けるシステムを更新しました。ベンダ情報: アップルの情報を追加しました。 [2024年02月26日] CVSS による深刻度: 内容を更新 CWE による脆弱性タイプ一覧：内容を更新


公表日	2006/09/26
登録日	2007/04/01
最終更新日	2024/02/28

OpenSSH の GSSAPI 認証におけるシグナルハンドラで競合状態が発生する脆弱性