|
OSA-2003-23
1 サマリ
2 詳細
ARMA 2.0/2.1 に含まれる OpenSSH がタイミング攻撃に対する脆弱性を持っている可能性があります。
この脆弱性は サーバで実行される特定の整数演算に関する時間を計測された場合に、サーバの秘密鍵が漏洩する可能性があるというものです。SSH プロトコルがこのタイミング攻撃について脆弱性を持っているかどうかについては OpenSSH の開発チームも確証を得ていない模様ですが、実際に攻撃が成功した場合の被害は大きなものになることが予想されますのでパッケージのアップデートをお勧めいたします。
詳細は以下の URL をご参照下さい。
|
|
「openssh-unix-announce」 OpenSSH 3.6 released
|
|
|
|
「 Remote timing attacks are practical」タイミング攻撃の詳細
|
|
3 対処方法
ARMA 2.x では openssh_3.6p1-1o1 でこの問題に対処しています。root 権限で以下のコマンドを実行し、パッケージのアップデートを行って下さい。
|
# apt-get update
|
# apt-get install ssh
|
|
|
| |
|
|