OpenBSD の OpenSSH 等複数ベンダの製品には、データの整合性検証不備に関する脆弱性が存在します。
bitvise ssh client 9.33 未満 ssh server 9.32 未満 crates thrussh 0.35.1 未満 CrushFTP CrushFTP 10.6.0 およびそれ以前 FileZilla FileZilla Client 3.66.4 未満 FreeBSD FreeBSD 12.4 およびそれ以前 Jeff Forcier Paramiko 3.4.0 未満 LANCOM Systems GmbH lanconfig LCOS 3.66.4 およびそれ以前 LCOS FX LCOS LX LCOS SX 4.20 LCOS SX 5.20 libssh libssh 0.10.6 未満 net-ssh net-ssh 7.2.0 NetSarang xshell 7 build 0144 未満 OpenBSD OpenSSH 9.6 未満 Oryx Embedded cyclone ssh 2.3.4 未満 panic nova 11.8 未満 transmit 5 5.10.4 未満 ProFTPD Project ProFTPD 1.3.8b およびそれ以前 roumenpetrov pkixssh 14.4 未満 Simon Tatham PuTTY 0.80 未満 ssh2 project ssh2 1.11.0 およびそれ以前 TeraTerm Project Tera Term 5.1 およびそれ以前 VanDyke Software securecrt 9.4.3 未満 WinSCP WinSCP 6.2.2 未満 マイクロソフト PowerShell 11.1.0 およびそれ以前 レッドハット Red Hat OpenShift Container Platform 4.0 Red Hat OpenStack Platform 16.1 Red Hat OpenStack Platform 16.2 Red Hat OpenStack Platform 17.1 日立 Hitachi Automation Director (海外販売のみ) Hitachi Automation Director (国内販売のみ) Hitachi Infrastructure Analytics Advisor (海外販売のみ) Hitachi Ops Center Administrator (海外販売のみ) Hitachi Ops Center Analyzer (海外販売のみ) Hitachi Ops Center Automator (海外販売のみ) Hitachi Ops Center Automator (国内販売のみ) Hitachi Storage Advisor (海外販売のみ) JP1/Automatic Operation JP1/Integrated Management 3 - Manager JP1/Operations Analytics
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
情報を改ざんされる可能性があります。
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
bitvise bitvise : Bitvise SSH Server Version History Bitvise SSH Client Version History : Changes in Bitvise SSH Client 9.33: [ 20 December 2023 ] crates crates : thrussh CrushFTP CrushFTP : Minimum safe CrushFTP version is 10.6.0. (Regularly updating is critical and we make that as easy as possible.)# FileZilla FileZilla : Version history FreeBSD FreeBSD Security Advisory : FreeBSD-SA-23:19.openssh Jeff Forcier GitHub : "Terrapin" MitM attack / CVE-2023-48795 #2337 Paramiko : Changelog LANCOM Systems GmbH Allgemeine Sicherheitshinweise : Informationen zur "Terrapin"-Sicherheitslucke im SSH-Protokoll (CVE-2023-48795) libssh Git : Bump version to 0.10.6 GitLab : libssh project/libssh-mirror/タグ net-ssh GitHub : net-ssh/CHANGES.txt NetSarang NetSarang : Xshell 7 Update History OpenBSD OpenSSH : OpenSSH for OpenBSD OpenSSH : release-9.6 Oryx Embedded Download : Release History panic panic : Transmit 5 Release Notes ProFTPD Project GitHub : 1.3.8 Release Notes GitHub : 1.3.9 Release Notes (d21e7a2) GitHub : 1.3.9 Release Notes (master) GitHub : Support the chacha20-poly1305@openssh.com SSH cipher #456 roumenpetrov PKIX-SSH : 20 Dec 2023 : Official version 14.4 Simon Tatham Simon Tatham : PuTTY Change Log ssh2 project GitHub : lib: add strict key exchange mode support TeraTerm Project GitHub : Strict KEX 対応 (CVE-2023-48795) GitHub : Tera Term 5.1 VanDyke Software VanDyke Software : SecureCRT(R) 9.5 (Official) -- January 16, 2024 WinSCP Recent Version History : 6.2.2 beta マイクロソフト GitHub : Clarify exposure to CVE-2023-48795 (Terrapin) #2189 GitHub : v9.5.0.0p1-Beta レッドハット Red Hat Bugzilla : Bug 2254210 Red Hat Customer Portal : CVE-2023-48795 日立 Hitachi Software Vulnerability Information : hitachi-sec-2024-131 Hitachi Software Vulnerability Information : hitachi-sec-2024-139 ソフトウェア製品セキュリティ情報 : hitachi-sec-2024-131 ソフトウェア製品セキュリティ情報 : hitachi-sec-2024-139
データの整合性検証不備(CWE-354) [NVD評価]
CVE-2023-48795
JVN : JVNVU#99836374 JVN : JVNVU#99298639 National Vulnerability Database (NVD) : CVE-2023-48795 ICS-CERT ADVISORY : ICSA-24-102-04 ICS-CERT ADVISORY : ICSA-24-193-11 関連文書 : packetstormsecurity.com (Terrapin-SSH-Connection-Weakening) 関連文書 : www.openwall.com (oss-security/2023/12/18/3) 関連文書 : www.openwall.com (oss-security/2023/12/19/5) 関連文書 : www.openwall.com (oss-security/2023/12/20/3) 関連文書 : arstechnica.com (hackers-can-break-ssh-channel-integrity-using-novel-data-corruption-attack) 関連文書 : bugs.gentoo.org (920280) 関連文書 : bugzilla.suse.com (1217950) 関連文書 : filezilla-project.org (versions.php) 関連文書 : forum.netgate.com (terrapin-ssh-attack) 関連文書 : github.com (pull/275249) 関連文書 : github.com (GHSA-45x7-px36-x8w8) 関連文書 : github.com (issues/445) 関連文書 : github.com (5c8b534f6e97db7ac0e0e579331213aa25c173ab) 関連文書 : github.com (2.2.21...2.2.22) 関連文書 : github.com (issues/520) 関連文書 : github.com (v2.5.6) 関連文書 : github.com (notes.xml#L39-L42) 関連文書 : github.com (OTP-26.2.1) 関連文書 : github.com (9d2ee975ef9fe627bf0a6f01c1f69e8ef1d4f05d) 関連文書 : github.com (issues/916) 関連文書 : github.com (issues/81) 関連文書 : github.com (8e972c5e94b460379fe0c7d20209c16df81538a5) 関連文書 : github.com (pull/1291) 関連文書 : github.com (CHANGES#L25) 関連文書 : github.com (jsch-0.2.14...jsch-0.2.15) 関連文書 : github.com (issues/457) 関連文書 : github.com (pull/461) 関連文書 : github.com (master) 関連文書 : github.com (releases) 関連文書 : github.com (changes.rst) 関連文書 : github.com (tags) 関連文書 : github.com (issues/165) 関連文書 : github.com (v0.40.2) 関連文書 : groups.google.com (-n5WqVC18LQ) 関連文書 : groups.google.com (qA3XtxvMUyg) 関連文書 : jadaptive.com (important-java-ssh-security-update-new-ssh-vulnerability-discovered-cve-2023-48795) 関連文書 : lists.debian.org (msg00017) 関連文書 : lists.fedoraproject.org (3CAYYW35MUTNO65RVAELICTNZZFMT2XS) 関連文書 : lists.fedoraproject.org (3YQLUQWLIHDB5QCXQEX7HXHAWMOKPP5O) 関連文書 : lists.fedoraproject.org (APYIXIQOVDCRWLHTGB4VYMAUIAQLKYJ3) 関連文書 : lists.fedoraproject.org (F7EYCFQCTSGJXWO3ZZ44MGKFC5HA7G3Y) 関連文書 : lists.fedoraproject.org (KMZCVGUGJZZVDPCVDA7TEB22VUCNEXDD) 関連文書 : lists.fedoraproject.org (MKQRBF3DWMWPH36LBCOBUTSIZRTPEZXB) 関連文書 : lists.fedoraproject.org (QI3EHAHABFQK7OABNCSF5GMYP6TONTI7) 関連文書 : matt.ucc.asn.au (CHANGES) 関連文書 : nest.pijul.com (D6H7OWTTMHHX6BTB3B6MNBOBX2L66CBL4LGSEUSAI2MCRCJDQFRQC) 関連文書 : news.ycombinator.com (38684904) 関連文書 : news.ycombinator.com (38685286) 関連文書 : news.ycombinator.com (38732005) 関連文書 : nova.app (#v11.8) 関連文書 : security-tracker.debian.org (CVE-2023-48795) 関連文書 : security-tracker.debian.org (libssh2) 関連文書 : security-tracker.debian.org (proftpd-dfsg) 関連文書 : security-tracker.debian.org (trilead-ssh2) 関連文書 : security.gentoo.org (202312-16) 関連文書 : security.gentoo.org (202312-17) 関連文書 : security.netapp.com (ntap-20240105-0004) 関連文書 : thorntech.com (cve-2023-48795-and-sftp-gateway) 関連文書 : twitter.com (status/1736774389725565005) 関連文書 : ubuntu.com (CVE-2023-48795) 関連文書 : www.debian.org (dsa-5586) 関連文書 : www.debian.org (dsa-5588) 関連文書 : www.openwall.com (oss-security/2023/12/18/2) 関連文書 : www.openwall.com (oss-security/2023/12/20/3) 関連文書 : www.reddit.com (cve202348795_why_is_this_cve_still_undisclosed) 関連文書 : www.suse.com (suse-addresses-the-ssh-v2-protocol-terrapin-attack-aka-cve-2023-48795) 関連文書 : www.terrapin-attack.com 関連文書 : www.theregister.com (terrapin_attack_ssh)
[2024年01月17日] 掲載 [2024年04月15日] 参考情報:JVN (JVNVU#99836374) を追加 参考情報:ICS-CERT ADVISORY (ICSA-24-102-04) を追加 [2024年07月04日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (hitachi-sec-2024-131) を追加 [2024年07月16日] 参考情報:JVN (JVNVU#99298639) を追加 参考情報:ICS-CERT ADVISORY (ICSA-24-193-11) を追加 [2024年08月08日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (hitachi-sec-2024-139) を追加