実行可能な脆弱性に関する調査レポート(CVE-2015-5600)
ソフトバンク・テクノロジーはOpenSSHのパスワード認証が、本来制限されている6回の認証制限を超えて試行できる脆弱性を確認し、注意を呼びかけている。
同社によると、OpenSSHでログイン処理をする際に、リモートから制限回数の6回を超える多数のログイン試行が実行可能な脆弱性を確認した。影響を受けるのは OpenSSH 6.9とそれ以前のバージョンで、この脆弱性はパスワード認証が有効なSSHサーバのkeyboard interactive認証の処理の問題により、ログイン試行の制限時間内であれば認証要求を6回を超えても送信できてしまう。この脆弱性により認証試行を6回超えても可能になるため、攻撃者はパスワード認証のリトライ回数の制限なしにパスワードの総当たり攻撃が可能となり、悪用が容易となっている。この脆弱性を修正したパッチがリリースされているため、パッチを適用するよう推奨している。また、その他の対策として認証には公開鍵認証の利用や、複雑なパスワードにするよう推奨している。