OpenSSH 8.5 のリリース【セキュリティ・アップデート】
先週の話で恐縮だが, 2021-03-03 にリリースされた OpenSSH 8.5 で CVE-2021-28041 の脆弱性の改修がされていたらしい。
ssh-agent in OpenSSH before 8.5 has a double free that may be relevant in a few less-common scenarios, such as unconstrained agent-socket access on a legacy operating system, or the forwarding of an agent to an attacker-controlled host.
ssh-agent のソケット周りとかヤバいぢゃん。
CVSSv3 評価は以下の通り。
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H- 深刻度: 緊急 (Score: 9.8)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |
実は Ubuntu で,これを修正したらしい OpenSSH 8.3 バックポート・パッチが出てたので気付いた次第。
まぁ,アップデートは計画的に,ということで。
参考図書
- SSH Mastery: OpenSSH, PuTTY, Tunnels and Keys (IT Mastery Book 12) (English Edition)
- Lucas, Michael W (著)
- Tilted Windmill Press 2018-02-06 (Release 2018-02-06)
- Kindle版
- B079NL1L9K (ASIN)
- 評価
タイトルを見て “SSH Mystery” と空目したアホは私です。洋書だけど英語不得手の私にも読める内容。
- 暗号化 プライバシーを救った反乱者たち
- スティーブン・レビー (著), 斉藤 隆央 (翻訳)
- 紀伊國屋書店 2002-02-16
- 単行本
- 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN)
- 評価
20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!
- 暗号技術入門 第3版 秘密の国のアリス
- 結城 浩 (著)
- SBクリエイティブ 2015-08-25 (Release 2015-09-17)
- Kindle版
- B015643CPE (ASIN)
- 評価
SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。