パスワードを忘れた? アカウント作成
Close
5604 story

OpenSSH/PAMにセキュリティホール 4

ストーリー by GetSet
連休中も管理者は悩ましい 部門より

Anonymous Coward 曰く、 "securityfocusに公開された情報によるとPAM機能が有効になっているOpenSSHにセキュリティホールが見つかったようです。
OpenSSH 3.6.1p2へのアップグレードが推奨されますが、システムライブラリ(getpwnam(3)、NSSモジュールなど)にもこの手のバグがあり、バージョンアップだけでは100%の解決にはならないようです。認証コードパスの根本的な再設計の必要性も指摘されています。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OpenSSH/PAMにセキュリティホール More

  • ミイラ取りがミイラ (スコア:1)

    by Technical Type (3408) on 2003年05月01日 18時40分 (#308176)
    また OpenSSH かぁって感じ。Snort の時も感じたけど、この手のセキュリティーツールが脆弱性を連発してたりすると「これじゃセキュリティーを上げているんだか下げているんだかわからないな」と感じます。無いほうがマシとまでは言わないけど。
    • securityfocusに公開された情報 [securityfocus.com]の終わりに

      > proof of concept that automatically exploits this information leak
      > issue. The source code is available for free download at:
      > http://lab.mediaservice.net/code/ssh_brute.c [mediaservice.net]

      とあって、有効なユーザー名かどうかを自動で調べられるコンセプト・コードが出ているので、 後はユーザーが安直なパスワードを使っていたら侵入されるので、もし OpenSSH/PAM を組み込んでいるベンダーは即、対策ですね。 もっとも普通は納入する製品やシステムには OpenSSH/PAM は利用せず、 商用版の SSH [ssh.com]を採用するだろうけど。

      個人的に使っているのは FreeBSD なので、今回の件はセーフでしたが、セキュリティー関係のツールで色々問題が出て、慌てて対応するのはちょっとしんどい。

      シェア
      親コメント

  • PAM ってどれくらい一般的なんでしょうか? (スコア:0)

    by Anonymous Coward on 2003年05月03日 21時40分 (#309182)
    ユーザー認証を一元化する試みはいろいろあると思いますが、PAM ってどれくらい使われているもんなんでしょうか?

    個人的にはこういうのって Windows Server のような危なさを感じたりするのですが…。
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson