OpenSSHにおけるリモートコード実行の脆弱性

投稿日:2024.07.02
更新日:2024.09.26

OpenSSHには、シグナルハンドラーの競合によるリモートコード実行の脆弱性が存在します。
本脆弱性が悪用された場合、特権でリモートから、認証不要で任意のコード実行をされる可能性があります。
攻撃を受けた場合の影響度が高いため、早急に対策を実施されることを推奨します。

影響を受けるソフトウェア

  • OpenSSH 8.5p1 から 9.7p1

対策

1. アップデートする

開発者が提供する情報をもとに、最新版にアップデートしてください。本脆弱性を修正した以下のバージョンが提供されています。

  • OpenSSH 9.8p1

2. 緩和策を実施する

上記の脆弱性を修正したバージョンへのアップデートがただちに行えない場合は、メーカーのサポートページを参照し、「LoginGraceTime」(ログイン試行の接続時間)の変更などの緩和策の実施をご検討下さい。
但し、この緩和策はサービス拒否(DoS)攻撃の影響を受ける恐れがある点に留意が必要です。

参考情報

必須

学内限定