SSHプロトコルに対する中間者攻撃が可能になる「Terrapin Attack」に対し注意喚起
2023年12月21日(木)
SSHプロトコルにおいて中間者攻撃が可能になる、危険度の高い「Terrapin Attack」が発見され、注意喚起が発表された。
「Terrapin Attack」は、ハンドシェイクプロセス中にシーケンス番号を操作してSSHプロトコルの整合性を破ることで、攻撃者が通信チャネルを通じて交換されるメッセージを削除あるいは変更できるようになってしまう。これにより、様々な攻撃が可能になってしまう、危険度の高い攻撃。ドイツのRuhr Universityの研究グループによって発見された。CVEはCVE-2023-48795、CVE-2023-46445、CVE-2023-46446。
OpenSSH、AsyncSSH、LibSSH、PuTTY、Transmit 5などがTerrapin Attackの影響を受けるという。一方、研究チームはTerrapin Attackの詳細を公開する前に修正できるように、SSHを実装する約30の組織に前もって通報済みで、詳細な研究結果を共有したとしている。
(川原 龍人/びぎねっと)
[関連リンク]
Bleepingcomputerの記事
その他のニュース
- 2024/12/11 オープンソースのエミュレーター「QEMU 9.2」リリース
- 2024/12/10 systemdの代替を目指すサービスマネージャ「GNU Shepherd 1.0」リリース
- 2024/12/9 軽量なLinuxディストリビューション「manjaro 24.2」リリース
- 2024/12/9 JavaScript/TypeScript対応Webフレームワーク「Astro 5.0」リリース
- 2024/12/8 openSUSE project、「openSUSE Leap micro 6.1」をリリース
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。