[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:33473] [Translate] [SECURITY] [DSA-134-1] OpenSSH remote vulnerability
かねこです。
URL 等は元記事を確認ください。-2 のほう (potato 版アナウンス) も
追って出します。
------>8------------>8------------>8------------>8------------>8
- ------------------------------------------------------------------------
Debian Security Advisory DSA-134-1 security@debian.org
http://www.debian.org/security/ Wichert Akkerman
June 24, 2002
- ------------------------------------------------------------------------
Package : ssh
Problem type : リモートからの攻撃
Debian-specific: no
Theo de Raadt さんにより、OpenBSD チームが ISS と共に OpenSSH (Secure
SHell プロトコルのフリーな実装) のリモートから攻撃される弱点の対策を行
っているとのアナウンスがありました。関係者はこの脆弱性に関する詳細の公
表を拒否し、ただ最新版の 3.3 にアップグレードするよう勧告が出されたのみ
です。
このバージョンは三日前にリリースされたもので、攻撃の効果を軽減するため
の新機能 privilege separation がネットワーク処理コードに追加されていま
す。残念ながら、このバージョンには、既に幾つかの問題が知られています。
具体的には、ソースコードが特定の mmap 機能に依存しているため、圧縮がど
の OS でも使えるようにはなっていないこと、および PAM サポートが未完であ
る点です。これ以外にも問題があるかもしれません。
新たに加わった privilege separation 機能は Niels Provos さんによるもの
で、ssh が殆どの作業を、分離した非特権モードのプロセスで処理するという
ものです。これにより、この部分の処理部に何かの脆弱性があっても、それは
管理者特権の奪取につながらず、ただ chroot で制限された別のアカウントへ
のアクセスを許すだけになります。
Theo さんはこの新版が脆弱性を修正するものでなく、この新 privilege
separation コードにより、問題の程度を軽減するのみであると明言しています。
これは、上記の通り攻撃者が chroot された特別のアカウントまでしか得るこ
とができないためです。
問題の詳細が明らかにされていないため、Debian プロジェクトでは最新版の
可搬性のある OpenSSH リリースである、バージョン 3.3p1 へやむなく移行し
ます。
短期間で準備しなければならなかったため、Debian GNU/Linux 2.2 / potato
用の更新版パッケージの準備はまだ出来ていません。近くリリースされる 3.0
リリース (woody) 向けのパッケージは、殆どのアーキテクチャに対して準備が
できました。
また、時間不足のため、これらのパッケージに対しては適切なだけの QA 評価
が行えていません。バグや、動かないといった問題を含んでいる可能性があり
ます。もし、そのような問題を発見した場合には、バグレポートを出していた
だければ調査します。
このパッケージは privilege separation コードで使うため、新アカウント
sshd を作成します。もし、sshd アカウントが存在していなかったら、新規に
作成されます。また、アカウントが存在していた場合にはそれが再利用されま
す。このような動作を行って欲しくない場合には、人手で修正する必要があり
ます。
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
Debian GNU/Linux 2.2 愛称 potato
- ---------------------------------
Potato は alpha, arm, i386, m68k, powerpc と sparc の各アーキテクチ
ャ向けにリリースされています。
現在、potato 向けパッケージは準備できていません。
Debian GNU/Linux 3.0 愛称 woody
- ---------------------------------
Woody は alpha, arm, hppa, i386, ia64, m68k, mips, mipsel, powerpc,
s390 と sparc 向けにリリースの予定です。
現在、m68k 向けパッケージはまだ準備できていません。
ソースアーカイブ:
http://security.debian.org/pool/updates/main/o/openssh/openssh_3.3p1-0.0woody1.dsc
Size/MD5 checksum: 751 2409524dc15e3de36ebfaa702c0311ea
http://security.debian.org/pool/updates/main/o/openssh/openssh_3.3p1.orig.tar.gz
Size/MD5 checksum: 831189 226fdde5498c56288e777c7a697996e0
http://security.debian.org/pool/updates/main/o/openssh/openssh_3.3p1-0.0woody1.diff.gz
Size/MD5 checksum: 33009 4850f4a167cb515cc20301288e751e27
alpha architecture (DEC Alpha)
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody1_alpha.deb
Size/MD5 checksum: 844556 7ef1518babcb185b5ef61fde2bd881c5
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody1_alpha.deb
Size/MD5 checksum: 33422 ba9145a70719500ba56940e79e2cba02
arm architecture (Arm)
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody1_arm.deb
Size/MD5 checksum: 653454 4b6553ed08622525c6f22e7dc488f7c6
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody1_arm.deb
Size/MD5 checksum: 32636 902f862c07059cdccb2ece3147f66282
hppa architecture (HP PA RISC)
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody1_hppa.deb
Size/MD5 checksum: 33008 cdc5abf35a41df56be4780e251d203e8
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody1_hppa.deb
Size/MD5 checksum: 750862 d66d8707a30787b9995f9716fdd97811
i386 architecture (Intel ia32)
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody1_i386.deb
Size/MD5 checksum: 637940 c3743ca590e7efd74cb97d5be98456be
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody1_i386.deb
Size/MD5 checksum: 32928 d8a53753324406f2d9a386451e02e40d
ia64 architecture (Intel ia64)
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody1_ia64.deb
Size/MD5 checksum: 34374 a7f36c83b84a5d4ade7a8ee992ca92da
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody1_ia64.deb
Size/MD5 checksum: 998018 ff8346cfbcba7e156f825de86c440455
mips architecture (SGI MIPS)
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody1_mips.deb
Size/MD5 checksum: 32926 afc0d38e2c49eb7ef8de86a935509af3
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody1_mips.deb
Size/MD5 checksum: 725414 22b6bc8d5fcfa09ba9391ed98ccf0851
mipsel architecture (SGI MIPS (Little Endian))
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody1_mipsel.deb
Size/MD5 checksum: 32894 71bc788f883eb7caf3262fe8b685dfd3
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody1_mipsel.deb
Size/MD5 checksum: 722364 2ee3bfe9bdaa28b41dd6aaa6407e2fc6
powerpc architecture (PowerPC)
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody1_powerpc.deb
Size/MD5 checksum: 32658 7f7fa405891087d0da0c54e0fd516d02
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody1_powerpc.deb
Size/MD5 checksum: 676954 4471019ed9c792bbaf6422394d7bb77c
s390 architecture (IBM S/390)
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody1_s390.deb
Size/MD5 checksum: 33274 81ff83437d47fba8c62351e249e70a2d
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody1_s390.deb
Size/MD5 checksum: 666304 05666b9eb24bfb76bcd3c194912da912
sparc architecture (Sun SPARC/UltraSPARC)
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody1_sparc.deb
Size/MD5 checksum: 32720 8f03b2b054e9fcf47ad826802e1a0192
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody1_sparc.deb
Size/MD5 checksum: 681598 2d1413a153f3e51fafaaee9a8ad4682b
- --
- ----------------------------------------------------------------------------
apt-get: deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------