【悲報】ITmedia エンタープライズにSSHとSSLを区別できない脆弱性発覚
OpenSSLに脆弱性、秘密鍵流出の恐れ - ITmedia エンタープライズ
| オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に情報流出の脆弱性が見つかり、1月14日にリリースされた更新版で修正された。秘密鍵が流出する恐れもあることから、米セキュリティ機関のCERT/CCなどはできるだけ早急に対応するよう呼び掛けている。
CERT/CCやOpenSSLが公開したセキュリティ情報によると、OpenSSHクライアントコードのバージョン5.4~7.1p1では、SSH接続の再開(ローミング)が実験的にサポートされた。サーバコードにはこの機能は実装されていないものの、クライアントコードではデフォルトで有効になっており、悪質なサーバを使って悪用された場合、クライアントユーザーの秘密鍵を含むクライアントメモリがそのサーバにリークされる恐れがある。 米SANS Internet Storm Centerではこの脆弱性について、2014年に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性と類似点はあるものの、今回の脆弱性が悪用できるのはエンドユーザーが悪質なサーバに接続した場合のみであることから、Heartbleedの方がはるかに深刻だったと解説している。 脆弱性は「OpenSSH 7.1p2」で修正された。アップデートできないユーザーのために、回避策も紹介されている。 |
(2016/1/15 10:40ごろ修正されました)
書き間違えだと思ったら、頭に思いっきり『オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」』って書いちゃってるから、SSLとSSHの区別がついていないことが発覚
|。・ω・)。o (そんな情報リテラシーでエンタープライズ向けの ITmedia記事書いて大丈夫なの?)
Translate
似ている何かだと思ってそうですね。