株式会社ディアイティはサイバーセキュリティとネットワークの企業

ニュース

SSH Tectiaの脆弱性のお知らせ~SSHに対するPlaintext Recovery Attack~2008.11.17

脆弱性の内容

SSH Tectiaクライアント/サーバソリューションに影響するセキュリティの脆弱性の問題が発見されました。
この問題はSSH Tectia Client、またはSSH Tectia Serverがインストールされているシステムにおいて脆弱性を及ぼすことになります。

暗号化されたSecure Shell接続をリッスンし、ネットワーク接続(TCP)を動的に盗聴する事ができる攻撃者は、ある状況において最大4バイトの平文のデータを得ることができます。攻撃の試みはその攻撃された接続がただちに接続断となる原因となります。
この攻撃は、暗号ブロック連鎖(CBC)モードでブロック暗号アルゴリズムを使って暗号化されているプロトコルセッションに対してのみ有効となっています。
ただし、この脆弱性を突くことは非常に困難となっています。

CPNI Advisory Reference CPNI-957037
http://www.cpni.gov.uk/Products/3716.aspx


影響を受ける製品

下記バージョンが動作している全てのプラットフォームが影響を受けます。
SSH Tectia Client/Server/ConnectSecure 6.0.4以前
SSH Tectia Client/Server 5.3.8以前
SSH Tectia Client/Server 5.2.4以前(*1)
SSH Tectia Client/Server 4.4.11以前(*1)
SSH Tectia Client/Server for z/OS 5.5.1以前
SSH Tectia Client/Server for z/OS 6.0.1以前
SSH Tectia Client 4.3.3-J (日本語版)以前
SSH Tectia Client 4.3.10-K (韓国語版)以前(*1)
注:(*1)印は、現在はテクニカルサポート対象外の製品です。


対処方法

現在、ご利用の環境を確認していただき以下のどちらかの方法をご検討ください。
下記、修正バージョンへのバージョンアップ
SSH Tectia Client/Server/ConnectSecure 6.0.5
SSH Tectia Client/Server 5.3.9
SSH Tectia Client/Server 5.2.5(*1)
SSH Tectia Client/Server 4.4.12(*1)
SSH Tectia Client/Server for z/OS 5.5.2
SSH Tectia Client/Server for z/OS 6.0.2
SSH Tectia Client 4.3.4-J (日本語版)
注:(*1)印は現在はテクニカルサポート対象外の製品です。
可能であれば5.3.9、または6.0.5へのバージョンアップをご検討ください。

ストリーム暗号の利用
SSH Communications Security社としてはSecure Shell(SSH)のセッションでCBC(Cipher Block Chaining)モードの利用を避けることをすぐにできる回避策として推奨しております。
SSH Tectia製品においては具体的にはCryptiCoreまたはArcfour暗号化アルゴリズムのどちらかを使うことで回避が可能です。


プログラムの入手方法

現在、本製品の保守契約に加入されている場合は弊社のダウンロードサイトから新しいパッケージとライセンスをダウンロードすることができます。
[ダウンロード]
※6.0.5以外のプログラムの入手については別途お問い合わせください。

もし保守契約に加入されていない場合、または保守契約が切れている場合は下記の宛先までご連絡下さい。
お問い合わせの際は、既にお持ちの製品のシリアル番号を必ずご提示下さい。

お問い合わせ

03-5634-7651電話受付時間/平日9:00-18:00
メールでのお問い合わせ

24時間受付