BitVise WinSSH にサービス使用不能拒否を引き起こす脆弱性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

BitVise WinSSH にサービス使用不能拒否を引き起こす脆弱性

国際 海外情報

[翻訳:関谷 麻美]
2002年3月18日

◆概要:
 BitVise Secure Shell 2 は、パブリックなネットワークを介したコンピュータ間の様々な接続に安全性を提供するパワフルなプロトコルだ。すなわち、安全なログイン・シェルは、多数の利用され得る SSH2 の一つだ。
 "悪意ある接続の試み" を利用して、悪意あるユーザはサーバを SSH 接続要求を受け入れない状態にする。

◆詳細:
脆弱なシステム:
Windows 2000 Server で稼動する 2002年3月16日より前の BitVise WinSSH
 SSHd と下位のソケット・レイヤーの違いにより、セッションを突然に終了させ、そしてSSHd がセッションを適切に解放させないようにすることができる。各々の不完全な接続は、いくつかのメモリ・ハンドルを使い果たし、ページングされないカーネル・メモリーを割り当てる。

 Windows は、ある一定量のカーネル・メモリーの割り当てのみ処理することができ、その量を超えると、殆どのアプリケーションは異常な動作を始める。

 テストの際、そのサーバは port 22 への接続の受け入れを停止した(接続拒否)。これはおよそ 1840x254 接続を取得したが、時間もしくは帯域幅に関するものではないので、通常のダイアルアップのモデムからこの攻撃を実行し、未だに成功することが可能と思われる。

修正プログラム:
 ベンダーは、未承認の同時セッションの量を制限し、各接続に 60 秒のタイムアウトを設定した。

◆ベンダーの対応:
 ベンダーには2002年2月25日に連絡をとった。そして、ベンダーはこの問題を修正した新規ビルドを3月16日にリリースした。2002年3月18日、本アドバイザリーで指摘された問題をパッチが修正したことを確認した。

◆解決策:
 最新版ビルドにアップグレードすること。
下記の URL からダウンロードできる。

http://www.bitvise.com/existing-users.html

◆追加情報:
 Peter Grundl がこの情報を提供した。

[情報提供:SecuriTeam]
http://www.securiteam.com/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. SMSによる二要素認証が招くSOS(The Register)

    SMSによる二要素認証が招くSOS(The Register)

  4. フィッシング詐欺支援サービスの価格表(The Register)

  5. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×