[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Translate]security/2002/dsa-134.wml



郷田です。

かねこさん、査読とご指摘ありがとうございました。
誤訳その他がいろいろあってすみませんでした。

> これ、原文が素っ気ないのですこし追記気味にしないと読みにくい
> と思います。

ご指摘の箇所を修正したものを添付しておきます。

--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科3年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx
<define-tag description>リモートからの不正利用</define-tag>
<define-tag moreinfo>
<p>ISS X-Force は、OpenSSHの「リモートからの攻撃に対する脆弱性」
に関する勧告を発表しました。
残念ながら、この勧告はいくつかの点で正しくないため、この脆弱性
に対する衝撃についての広い混乱を招いてしまいます。
Debian の OpenSSH のバージョンはどれも、ISS の勧告で言及されていた
 SKEY およびBSD_AUTH 認証の方法に影響を受けません。
しかし、Debian は、その後に出た OpenSSH チームの勧告で脆弱性として
言及されていた PAM 機能をもった OpenSSH サーバを含んでいます。
(この脆弱な機能とは、キーボードを用いた対話的メカニズム [kbdint]
を通じた PAM を用いての認証のことです。)
この脆弱性は、OpenSSH のバージョン 2.3.1 から 3.3 に影響します。
現在は、 PAM/kbdint の脆弱性をついた不正利用は現在のところありませんが、
その
詳細は広く知られています。これらの脆弱性はすべて OpenSSH 3.4
では修正されています。
</p>

<p>
上で述べた脆弱性の修正に加えて、我々の OpenSSH パッケージのバージョン
3.3以上は、Niels Provos さんによる新しい権限分離機能をサポートしています。
これは ssh に、殆どの作業を、権限を持たないように分離された
プロセスに行わせるようにするというものです。
OpenSSH の、権限をもたない部分の脆弱性は、直接的な root 権限の不正使用
にはつながらず、権限のないアカウントの不正使用は空の chroot に限定されます。

権限分離は、さらなる OpenSSH の不正使用の危険性を減らすために
必要なのです。
</p>

<p>Debian 2.2 (potato) は、OpenSSH 1.2.3 に基づいた ssh パッケージ
とともに配布され、この勧告の言及している脆弱性に関しては、脆弱では
ありません。
バージョン 1.2.3 の ssh パッケージを用いているユーザには、そう急いで
OpenSSH 3.4 にアップグレードする必要はありません。
以前の DSA-134 の繰り返しでOpenSSH のバージョン3.3 のパッケージに
アップグレードしたユーザは、OpenSSH 3.3 パッケージは脆弱なので、新しい
バージョン 3.4 にアップグレードする必要があります。
OpenSSH 1.2.3 を用いているユーザには、権限分離機能を利用できるように
OpenSSH 3.4 に移行することもお考えくださると良いでしょう。
(しかしながら、我々は OpenSSH 1.2.3 の脆弱性については特別の知識を持ち
あわせておりません。OpenSSH 1.2.3 からアップグレードする際には、下記の
リストにある警告を十分お読みください。) 
OpenSSH のバージョン 2.0 以降のバックポートされたバージョンを potato
でお使いのユーザには、OpenSSH 3.4 に以降することをお勧めします。
</p>

<p>現在リリース前となっているバージョンの Debian (woody) は、OpenSSH の
バージョン 3.0.2p1 のパッケージ (ssh) を含んでいます。これは、前述の
PAM/kbdint の問題を持っています。OpenSSH 3.4 にアップグレードし、
権限分離ができるようにするようお勧めします。
アップグレードの前に、下記のリリースノートをよくお読みください。
ssh-krb5 (kerberos 認証をサポート
している OpenSSH パッケージ) 用にアップデートされたパッージは、現在開発途上です。
現在 OpenSSH パッケージをアップグレードできないユーザは、
脆弱な機能を止めることによって、知られている脆弱性をどうにかすることが
できます: 下記の行がコメントを外して/etc/ssh/sshd_config の中に
書かれていることを確認してから、ssh を再起動してください。

<pre>
  PAMAuthenticationViaKbdInt no
  ChallengeResponseAuthentication no
</pre>

<p>sshd_config の中には、これ以外に PAMAuthenticationViaKbdInt または
ChallengeResponseAuthentication が書かれていてはなりません。</p>

<p>これで、この勧告の、脆弱性に関する節はおしまいです。これ以降に書かれている
ことは、OpenSSH 3.4 のリリースノートと、権限の切り離し機能についての記述です。
OpenSSH 3.4 パッケージの URL は、最後に書かれています。
</p>

<p>アップグレードに関するいくつかの注記:</p>

<ul>
<li>このパッケージは、`sshd' という新しいアカウントを使用します。
このアカウントは、権限分離のコードで使用されます。
sshd アカウントが存在しない場合、パッケージはこのアカウントを作成しようとします。
このアカウントがすでに存在する場合には、それが再利用されます。
これが行われないようにしたい場合には、これを手動で変更する必要があります。
</li>

<li>(potato のみに関係します) このアップデートは、SSL libraryの
バージョン 0.9.6c からのバックポートを追加します。
これは、libssl10.9.6 のパッケージも同様にアップグレードしなければ
ならなくなるということを意味しています。
</li>

<li>(potato のみに関係します) このアップデートは、デフォルトでは
SSH のバージョン2を使用します (SSH プロトコルのバージョン1を
使用するように設定してあってもです)。
これによって、RSA 認証が使われているところの既存の設定を動かなくすることも
あります。
以下のどれかを行うことが必要です。


    <ul>
      <li>SSH プロトコル1と、既存の鍵を使うには、ssh を起動する際に、
          -1 をつける、または
      <li>プロトコル1を、プロトコル2より前に試す場合には
          <tt>/etc/ssh/ssh_config</tt> と/または
          <tt>/etc/ssh/sshd_config</tt> の <kbd>Protocol</kbd> 
          の行を "<kbd>Protocol 1,2</kbd>" に変更する、または

      <li>SSH プロトコル2のための rsa または dsa 鍵を作成する
    </ul>
    </li>

<li>sshd は、<tt>/etc/ssh/sshd_config</tt> に明記しなくても、
デフォルトで権限分離を有効にします。

<li>ssh に反応しなかった場合の rsh 使用はもう有効ではありません。</li>

<li>(potato のみに関係します) 権限分離は、Linux 2.0 カーネルでは
現在動きません。</li>

<li>KeyboardInteractive メカニズムを通じた PAM 認証を用いた
権限分離は現在動きません。</li>

<li>権限分離は、root 権限をもって動くようにしてある PAM モジュール
を動けなくします。</li>

<li>上に述べた問題のどれかにより、何らかの理由で権限分離を現在
使用することができないならば、<tt>/etc/ssh/sshd_config</tt> という
ファイルに "<kbd>UsePrivilegeSeparation no</kbd>" と書き加える
ことによって、権限分離を無効にすることができます。

</ul>

<p>この勧告で修正された以前の OpenSSH 3.3p1 パッケージの問題
(完全な changelog ではありません):</p>

<ul>
<li>(potato のみに関係します) インストール時の質問 "do you want
    to allow protocol 2 only" のデフォルトは、potato のパッケージでは
    "yes" にはなっていません。この質問に "yes" と答え、さらに
    sshd_config ファイルを再度作成する選択肢を選んだたユーザは、
    プロトコル1では接続できなくなります。
    この問題にはまってしまった場合には、どのようにしてプロトコル1を有効に
    するかを知るために<tt>/usr/doc/ssh/README.Debian</tt> を読んでください。
    potato でのデフォルトは現在 "no" となっているため、今後バージョン1.2.3
    からアップグレードする方には問題はありません。
    </li>

<li>(potato のみに関係します) ssh パッケージは、rsh-server とは競合
しませんし、rsh の代わりを提供することもありません。</li>

<li>プロトコル1の鍵を生成する選択をしたユーザは、インストールに失敗
することはなくなりました。
</ul>

<p>重ねて述べますが、我々は、通常よりも変更点が大きく、
試験をあまり行っていないパッケージをリリースしたことを遺感に思っています;
潜在的な厳しさと、根源的な脅威があるという、特定ではない自然の事実
を受けて、我々は、ユーザにとってはできるだけ早く評価できるパッケージを
手にすることができることが最も有益であると考えました。
我々は、追加の情報を受け次第それを発信し、顕著な問題については
それと取り組んでいこうと考えています。
</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-134.data"
#use wml::debian::translation-check translation="1.11"