●2002,06,26● OpenSSH にセキュリティホール (2002/06/28改訂)

対象 (Vine Linuxバージョン):

2.5/{i386,ppc,alpha}

内容:

ISS から OpenSSH の "Remote Challenge Vulnerability" に関する勧 告が公開されています。これによると 2.9.9〜3.3 までのバージョンに ChallengeResponseAuthentication に脆弱性が発見されましたが、 BSD_AUTH 認証 と s/key 認証のみに影響があるとされています。 Vine Linux ではどちらもコンパイル時にふくめられていないため、 直接的な影響はありません。しかしながら、OpenSSH チームから 発表された新たな脆弱性をを持つ PAM 認証は含んでいます。 これは PAM のキーボード対話機能(kbdint) に関するもので、 OpenSSH 2.3.1 から 3.3 までに影響があります。これらすべての脆弱性は OpenSSH 3.4 で修正されています。
OpenSSH 3.3p1 以前を使用している場合は 3.4p1 にアップグレードする ことを推奨します。
なお、旧バージョンの OpenSSH を使いつづける場合は、
PAMAuthenticationViaKbdInt no
ChallengeResponseAuthentication no
の2つを /etc/ssh/sshd_config に追加し sshd の再起動をすることで 問題を回避することができます。
詳しくは、ISS および OpenSSH の勧告を参照してください。

修正ずみパッケージ／ファイル:

openssh-3.4p1-0vl2.i386.rpm
openssh-server-3.4p1-0vl2.i386.rpm
openssh-clients-3.4p1-0vl2.i386.rpm
openssh-askpass-3.4p1-0vl2.i386.rpm
openssh-askpass-gnome-3.4p1-0vl2.i386.rpm

openssh-3.4p1-0vl2.ppc.rpm
openssh-server-3.4p1-0vl2.ppc.rpm
openssh-clients-3.4p1-0vl2.ppc.rpm
openssh-askpass-3.4p1-0vl2.ppc.rpm
openssh-askpass-gnome-3.4p1-0vl2.ppc.rpm

openssh-3.4p1-0vl2.alpha.rpm
openssh-server-3.4p1-0vl2.alpha.rpm
openssh-clients-3.4p1-0vl2.alpha.rpm
openssh-askpass-3.4p1-0vl2.alpha.rpm
openssh-askpass-gnome-3.4p1-0vl2.alpha.rpm

入手先：各ミラーサイトの

Vine-2.5/updates/RPMS/i386
Vine-2.5/updates/RPMS/ppc
Vine-2.5/updates/RPMS/alpha

より入手してください。

関連URL:
http://www.openssh.org/
http://www.debian.org/security/2002/dsa-134