OpenELECのrootのsshパスワードがハードコード - JVN

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は2月3日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#99850969 - OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題」において、OpenELECとRasPlexの脆弱性について伝えた。

この脆弱性はOpenELECにハードコードされたroot権限のパスワードが使われているというもの。OpenELECでは、デフォルトでrootによるSSHアクセスが有効になっているため、ハードコードされたパスワードを使用することでroot権限で機器へのアクセスが許可されてしまうことになる。RasPlexはOpenELECをベースにしたプロダクトであるため、同様の脆弱性を抱えている。

この問題を抜本的に修正する方法は現時点では公開されていない。危険性を軽減する措置としてSSH接続におけるパスワード認証を無効にすること、SSH接続で鍵認証を有効にして利用すること、ファイアウォールなどを使用して信頼できるホストやネットワークのみがプロダクトにアクセスできるように設定すること、などが挙げられている。