CentOS3/security/i386/CESA-2006 0738 Low CentOS 3 i386 openssh

CentOS 3 パッケージ更新・エラータ・セキュリティ情報

Errata †

CentOS エラータ、および Security Advisory CESA-2006:0738

CentOS 3 i386 向けの OpenSSH セキュリティ・アップデート:
https://rhn.redhat.com/errata/RHSA-2006-0738.html

上記の問題に対処する更新ファイル群は既にアップロードされています。
各 CentOS ミラーサイトよりダウンロードすることができます：

i386:
updates/i386/RPMS/openssh-3.6.1p2-33.30.13.i386.rpm
updates/i386/RPMS/openssh-askpass-3.6.1p2-33.30.13.i386.rpm
updates/i386/RPMS/openssh-askpass-gnome-3.6.1p2-33.30.13.i386.rpm
updates/i386/RPMS/openssh-clients-3.6.1p2-33.30.13.i386.rpm
updates/i386/RPMS/openssh-server-3.6.1p2-33.30.13.i386.rpm

source:
updates/SRPMS/openssh-3.6.1p2-33.30.13.src.rpm

CentOS 3 を利用している場合は、以下のコマンドで更新を行うことも出来ます。

yum update openssh\*

• [CentOS-announce] CESA-2006:0738 Low CentOS 3 i386 openssh - security update
  • http://lists.centos.org/pipermail/centos-announce/2006-November/013400.html

Errata 日本語概要 (Red Hat 社公開文章参考) †

Red Hat 社の勧告 †

• Advisory： RHSA-2006:0738-4
• 種別：セキュリティに対する助言
• 重要度：低程度
• 日時：2006-11-16

詳細について †

　OpenSSH の関するセキュリティに関する修正の行われたパッケージ群を公開しました。

　Red Hat セキュリティ対策チームは低程度のセキュリティ問題を持っていると判断しました。

　OpenSSH は OpenBSD によって開発されている SSH (安全なシェル＝Secure Shell) 実装プロトコルです。パッケージには SSH プロトコルを用いて通信する際に必要となるサーバとクライアント双方のプログラム群から構成されています。

　OpenSSH の特権分離モニタ(privilege separation monitor)の認証機能に欠陥が見つかりました。OpenSSH が privilege separation を用いているときでも、unprivileged なプロセスを動作させることが出来るようになってしまう場合に、攻撃者が適切な権限を所有しなくともログイン可能となる可能性があります。(CVE-2006-5794)

　この問題は OpenSSH 利用者に対しては、現時点では直接の脅威とはなりません。攻撃者が OpenSSH の unprivileged なプロセスの動作が可能であるという場合にのみ、この問題は発生するからです。現時点ではこの問題を悪用した攻撃手法は見受けられません。ですが、unprivileged なプロセスが仮に悪意を持って操作可能である可能性を孕んでいるため、欠陥についての問題を公表することに決定いたしました。

　OpenSSH のユーザは、これら被害を受けにくくするためにパッチをあてて対応するか、パッケージ群を更新して問題に対処する事を推奨します。

• https://rhn.redhat.com/errata/RHSA-2006-0738.html

※免責：翻訳については原文との完全な同一性を保証するものではありません。