OpenSSHの暗号鍵が漏えいする脆弱性 - シマンテックが更新呼び掛け

米Symantecはこのほど、OpenSSHにおいて暗号鍵が漏えいする脆弱性があることをセキュリティブログで明かした。OpenSSHを利用する端末の管理者に早急にソフトを更新するように呼び掛けている。

OpenSSHは、ネットワーク経由での通信の安全性を高めるためのソフトウェア。暗号化にSSHプロトコル(Secure Shell)を採用しており、UbuntuやMac OS Xなど、Linuxベースの多くのOSがOpenSSHを採用している。

脆弱性は、切断されたSSH接続を再開するためのローミング機能の一部で見つかった。攻撃者は、OpenSSHのサーバコードを悪用することで、暗号鍵を盗み出すことが可能となる。

OpenSSHの開発元は「サーバホスト鍵の認証が必要なことから、中間者攻撃による悪用は避けられるため、この情報漏えいは、悪質なサーバまたは危殆化したサーバに接続した場合に制限されます」とコメントしており、万一攻撃を受けた場合でも悪用できる範囲は限定されることがわかっている。

影響を受けるバージョンは、OpenSSHの5.4～7.1。影響を受けるソフトは、「Ubuntu 15.10、E/span>Ubuntu 15.04、E/span>Ubuntu 14.04 LTS」