ニュース	2002年5月23日　09:29 PM 更新

SSHサーバに脆弱性 意図しないパスワード認証のおそれ

　SSH Communications Security社は、同社の販売・配布しているSSH製品の一部に、認証に関する脆弱性があると発表した。設定項目のうち“Allowed Authentications”エントリでパスワード認証を使わない設定にしていても、SSH ver2クライアントの一部でパスワード認証が有効になってしまうというもの。

　公開鍵などによる認証をおこなっている環境でも、初期にパスワード認証でテストしていた場合などは、Allowed Authenticationエントリでオフにしただけでは、意図しない形でパスワード認証が適用されるおそれがある。

　この脆弱性は、“Allowed Authentications”のかわりに、“RequiredAuthentications”を使用することで回避できるほか、SSHサーバのアップデートや、パッチを適用して再コンパイルすることで修正できる。

　この脆弱性の影響を受ける製品は以下の通り。

• SSH Secure Shell for Servers
  
• SSH Secure Shell for Workstations
  

　（サーバモードでUNIXクライアントを動作させている場合）

• SSH Secure Shell for Windows Servers 3.0〜3.11
  

関連リンク
SSH コミュニケーションズ・セキュリティ

[記事提供：RBBTODAY ]

---