OpenSSH、OpenSSHに情報流出の脆弱性を確認

  • 元記事:OpenSSH Security Advisory: x11fwd.adv
  • HP:OpenSSH
  • 発表日時 2016/3/9

    OpenSSHに情報流出の脆弱性が確認された。影響を受けるのはOpenSSH 7.2p2以前のバージョンで、X11転送を有効にしている場合に情報流出の脆弱性が存在する。信頼できない入力の無害化不足により、X11転送が可能な第三者にxauthコマンドを挿入される恐れがある。この脆弱性が悪用されると、攻撃者にユーザ権限で任意のファイルを取得されたり、情報流出、ファイルの上書きなどをされる恐れがある。解決策としてOpenSSH 7.2p2が公開されており、アップデートによりこの脆弱性は解消される。回避策として、X11転送機能を無効化するデフォルト状態に戻すことでこの脆弱性を軽減できる。