かわぐち@SecurityWatchTeamです。 OpenSSH の のセキュリティアドバイザリがリリースされましたので お知らせします。 ---------------------------------------------------------------------- ●サマリ 日付 2003/05/14 タイトル openssh にセキュリティホール パッケージ名 openssh パッケージ一式 errata のURL http://vinelinux.org/errata/25x/20030514-1.html 関連URL http://archives.neohapsis.com/archives/bugtraq/2003-04/0384.html ftp://ftp.ca.openbsd.org/pub/OpenBSD/OpenSSH/portable/ChangeLog ---------------------------------------------------------------------- 問題の詳細 sshd の configure スクリプトの中で --with-pam を指定し、PAM サポート を有効にしていた場合、リモートの攻撃者は対象システムで指定したユーザが 存在するかを判別することができる脆弱性が発見されました。 対象 2.5/{i386,ppc,alpha}, 2.6/{i386,ppc,alpha} で openssh を使用している方 修正パッケージ(ix86 用) 6f013bc36cdbf4fa59464c36324a5ec9 openssh-3.6.1p2-0vl0.1.i386.rpm 5d24b70b3f9998461edaa4c96778d857 openssh-askpass-3.6.1p2-0vl0.1.i386.rpm e9892fb92b41c95445edf3c53969415f openssh-askpass-gnome-3.6.1p2-0vl0.1.i386.rpm df47c97052652096007afb538ca7edfd openssh-clients-3.6.1p2-0vl0.1.i386.rpm 057d1bc72305fba103e64b74fc6fcd50 openssh-server-3.6.1p2-0vl0.1.i386.rpm 修正パッケージ(ppc 用) 4eb6dd3d1e7395d942d0a86f1bfbbdb8 openssh-3.6.1p2-0vl0.1.ppc.rpm 22b8cbf085acee36ab5c1f72ef081bee openssh-askpass-3.6.1p2-0vl0.1.ppc.rpm 998a664a759c3608fc70b271fcea7997 openssh-askpass-gnome-3.6.1p2-0vl0.1.ppc.rpm 2346fc20a87177b21faa7417a8d52459 openssh-clients-3.6.1p2-0vl0.1.ppc.rpm a4207c117ed8a3089a486db122698388 openssh-server-3.6.1p2-0vl0.1.ppc.rpm 修正パッケージ(alpha 用) 9374b2a763931213f09427b2e73875ae openssh-3.6.1p2-0vl0.1.alpha.rpm 591ba914eb3242f39549ea4ce2a4cd3e openssh-askpass-3.6.1p2-0vl0.1.alpha.rpm b74b654302dda54ea71a9d4fe1648491 openssh-askpass-gnome-3.6.1p2-0vl0.1.alpha.rpm 6ecf46f14c273679ec9777fac012a307 openssh-clients-3.6.1p2-0vl0.1.alpha.rpm ea218fb5071d824a9424d9f443ff52a1 openssh-server-3.6.1p2-0vl0.1.alpha.rpm アップデート方法 apt-get update && apt-get upgrade or rpm -Fvh openssh-3.6.1p2-0vl0.1.i386.rpm \ openssh-askpass-3.6.1p2-0vl0.1.i386.rpm \ openssh-askpass-gnome-3.6.1p2-0vl0.1.i386.rpm \ openssh-clients-3.6.1p2-0vl0.1.i386.rpm \ openssh-server-3.6.1p2-0vl0.1.i386.rpm 注意事項 アップデート後 /etc/init.d/sshd restart として ssh デーモンを再起動してください。 ---------------------------------------------------------------------- ◆Vine Linux Security Watch Team について Vine Linux Security Watch Team では ・セキュリティ情報の収集 ・修正パッケージの作成、テスト、リリース ・VineUsers へのセキュリティ情報のアナウンス などを行っております。 ご協力していただける方は Vine@xxxxxxxxxxxxx までご連絡おねがいします。 都合によりご連絡頂いた方へのお返事が多少遅くなる場合がありますが、 ご了承ください。 かわぐち/kawa kawa@xxxxxxxxxxxxx kawakawa@xxxxxxxxxxx