[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

solved ? (Re: OpenSSH)



深海です。

  http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20584

SKEY もしくは BSD_AUTH を有効にしてコンパイルした時 (NetBSD は SKEY 有効)
"challenge-response" 認証で問題が発生するとの事。

有効でないか、有効であっても sshd_config で

  ChallengeResponseAuthentication no

とすれば問題は回避できる、という事らしいです。

ちなみに NetBSD-current には既に 3.4 相当が import 済。

... 影響が簡単に回避できる事に気が付いたから、 3.4 リリースと詳細の告知
を前倒ししたんでしょうか。お仕事サーバを 108 台も 3.4 に入れ替えなくても
済みそうです :)

At Tue, 25 Jun 2002 12:40:54 +0900,
FUKAUMI Naoki wrote:
> 最新の OpenSSH 3.3p1 を含む全てのバージョン (?) にリモートから悪用できる
> セキュリティホールがある (詳細未公開) らしく、直ってないけど 3.3 にして
> 
>   UsePrivilegeSeparation yes
> 
> にして使えばなんとかなるからそうしてね、という話が流れているようです。

--
ふかうみ なおき