2016年2月5日 09:09
OpenELECのrootのsshパスワードがハードコード - JVN
JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は2月3日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#99850969 - OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題」において、OpenELECとRasPlexの脆弱性について伝えた。
この脆弱性はOpenELECにハードコードされたroot権限のパスワードが使われているというもの。OpenELECでは、デフォルトでrootによるSSHアクセスが有効になっているため、ハードコードされたパスワードを使用することでroot権限で機器へのアクセスが許可されてしまうことになる。RasPlexはOpenELECをベースにしたプロダクトであるため、同様の脆弱性を抱えている。
この問題を抜本的に修正する方法は現時点では公開されていない。危険性を軽減する措置としてSSH接続におけるパスワード認証を無効にすること、SSH接続で鍵認証を有効にして利用すること、ファイアウォールなどを使用して信頼できるホストやネットワークのみがプロダクトにアクセスできるように設定すること、などが挙げられている。
「納得ができるものではない」令和の虎 収録中に出火トラブルでビルオーナーから“高額”違約金請求され不満吐露