脆弱性情報|Tectia SSH ソリューション、CryptoAuditor
- 2017.02.15 CryptoAuditor脆弱性について
- 2016.03.04 [重要] (CVE-2016-0777/CVE-2016-0778)OpenSSHのroaming機能による脆弱性のTectia製品への影響
- 2014.10.17 [重要] (CVE-2014-3566)SSL 3.0の脆弱性「POODLE」におけるTectia製品への影響
- 2014.09.30 [重要] (CVE-2014-6271)Bashの脆弱性「Shellshock」におけるTectia製品への影響
- 2012.12.04 [緊急度 High/Critical] Tectia SSH Server脆弱性の報告
- 2008.11.17 SSH Tectiaの脆弱性のお知らせ ~SSHに対するPlaintext Recovery Attack~
- 2008.01.18 SSH Tectia Client/Server5.xのローカル特権ユーザ(root)昇格の脆弱性
- 2006.02.15 SSH Tectia (Secure Shell) Server SFTPに関する脆弱性
- 2005.07.01 SSH Tectia Server(Windows)に関する脆弱性
- 2017.02.15
- 2016.03.04
[重要] (CVE-2016-0777/CVE-2016-0778)OpenSSHのroaming機能による脆弱性のTectia製品への影響
- 2014.10.17
- 2014.09.30 [重要] (CVE-2014-6271)Bashの脆弱性「Shellshock」におけるTectia製品への影響
- 2012.12.04 [緊急度 High/Critical] Tectia SSH Server脆弱性の報告
- 2008.11.17
- 2008.01.18
- 2006.02.15
- 2005.07.01 SSH Tectia Server(Windows)に関する脆弱性
2017.02.15
SSH Communications Security 社より、CryptoAuditorに対する、脆弱性が確認されましたのでご報告いたします。
ユーザ様にはご不便並びにご心配をお掛けしておりまして誠に申し訳ございません。
本問題を修正したバージョンが、SSH Communications Security(Tectia)社よりリリースされましたので、報告いたします。
本脆弱性について
SSH Communications Securetity社の内部にテストにて、CryptoAuditor Ver 2.2.2までのすべてのバージョンにて、権限の持たないユーザーを利用して、CryptoAuditorシステムにリモートアクセスが許可される脆弱性が判明いたしました。
本脆弱性を利用するためには、CryptoAuditor Houndと同一のネットワークセグメントにアクセスする必要があります。
影響を受ける製品/バージョン
- CryptoAuditor Ver2.2.2までの全てのバージョン
回避方法
以下バージョンへのシステムフルバージョンアップをお願いします。
- CryptoAuditor 1.5.7
- CryptoAuditor 2.0.5
- CryptoAuditor 2.1.4
- CryptoAuditor 2.2.3
※注意点
バージョンアップについて、システムのフルバージョンアップが必要となります。
ソフトウェアバージョンアップでは本脆弱性の対応は行うことが出来ません。
システムのフルバージョンアップを行う前に、必ずスナップショットの取得をお願いします。
修正バージョンの提供方法について
CDパッケージで郵送にてご提供させて頂きます。
お手数ですが以下、弊社お問い合わせフォームより、お問い合わせの頂ければと思います。
本件詳細な情報に関しては、以下弊社ヘルプデスクサポート CryptoAuditor担当までお問い合わせ下さい。
株式会社ディアイティ ネットワークセキュリティ事業部
ヘルプデスクサポート
TEL: 03-5634-7671 E-mail: support@dit.co.jp
2016.03.04
SSH Communications Security 社より、Tectia SSH製品に対するOpenSSHのroaming機能による脆弱性における影響について報告がありましたので、報告いたします。
※本脆弱性についてはOpenSSHの脆弱性となり、SSH Tectia製品の直接的な脆弱性ではありません。
影響を受けない製品
- Tectia全製品
(CVE-2016-0777/CVE-2016-0778)脆弱性の内容
OpenSSH 5.4以降のバージョンにおいて、OpenSSHクライアントは非公開のroaming機能を実装しています。
本機能はOpenSSHクライアントではデフォルトで有効にされており、本機能のバグによる以下の2つの脆弱性が存在します。
- (CVE-2016-0777) 秘密鍵を含む情報の漏えい
本脆弱性はOpenSSHクライアントのデフォルト設定の状態で存在し、悪意あるサーバとの通信により、クライアントが持つ秘密鍵情報を含むメモリの内容が漏えいする可能性があります。 - (CVE-2016-0778) OpenSSHクライアントに対するバッファオーバフロー攻撃
悪意のあるOpenSSHサーバからOpenSSHクライアントに対してバッファオーバフロー攻撃を行う事が出来ます。
本脆弱性はOpenSSHクライアントのデフォルト設定の状態で存在しますが、デフォルトでは無効になっているオプション(ProxyCommand および ForwardAgent (-A)、またはProxyCommand および ForwardX11 (-X))が有効に設定されている場合に発生します。
本脆弱性の詳細な情報については、以下URLよりJVNの詳細情報をご参照ください。
2014.10.17
SSH Communications Security 社より、Tectia SSH製品に対するGNU Bashの脆弱性における影響について報告がありましたので、報告いたします。
※本脆弱性について、SSHプロトコル及び、SSH Tectia製品の直接的な脆弱性ではありません。
影響を受けない製品
- Tectia SSH Client
- Tectia SSH Server
- Tectia ConnectSecure
- Tectia MFT Events
間接的に影響を受ける製品
- Universal SSH Key Manager
- Tectia MobileID
本脆弱性の詳細な情報については、以下URLよりJVNの詳細情報をご参照ください。
管理用Webユーザインタフェースとしてサードパーティ製のWebサーバを使用している為、間接的に影響を受ける可能性があります。
回避策
ご利用のWebサーバにてSSL 3.0を無効化してください。
直接影響を受ける製品
- CryptoAuditor すべてのバージョン
- Tectia Manager すべてのバージョン
CryptoAuditor及びTectia Managerにつきましては、SSL 3.0を無効化する為にメンテナンスアップデートが必要となります。対応が出来次第、別途ご連絡させていただきます。
(CVE-2014-3566)脆弱性の内容
SSL 3.0プロトコルに対して、中間者攻撃により通信内容を解読する攻撃手法が報告されています。この攻撃手法は "POODLE" (Padding Oracle On Downgraded Legacy Encryption) と呼ばれています。
Webブラウザ等のプログラムの多くでは、上位のプロトコルで通信できない場合にプロトコルのバージョンをダウングレードして通信を行う機能 ("protocol downgrade dance") が実装されています。中間者攻撃(Man-In-the-Middle Attack) を通じて POODLE 攻撃を行う際には、この機能を悪用して SSL 3.0 による通信を行わせるように仕向けます。
その後、SSL 3.0 でブロック暗号のCBCモードによる暗号化が行われている通信に対し、通信内容を解読します(パディングオラクル攻撃の一種)。
現実的な攻撃シナリオとして、HTTP Cookie などの情報を取得する方法が挙げられています。
本脆弱性の詳細な情報については、以下URLよりJVNの詳細情報をご参照ください。
2014.09.30
SSH Communications Security 社より、Tectia SSH製品に対するGNU Bashの脆弱性における影響について報告がありましたので、報告いたします。
※本脆弱性について、SSHプロトコル及び、SSH Tectia製品の直接的な脆弱性ではありません。
影響を受けない製品
- Tectia SSH Client
- Tectia MFT Events
- Tectia Manager
- CryptoAuditor
影響を受ける製品
- Tectia SSH ConnectSecure (for AIX) すべてのバージョン
- Tectia SSH Server すべてのバージョン
- Universal SSH Key Manager すべてのバージョン
回避策
bashの修正パッチの適用、またはその他のログインシェルのご利用を検討下さい。
(CVE-2014-6271)脆弱性の内容
CryptoAuditor及びTectia Managerにつきましては、SSL 3.0を無効化する為にメンテナンスアップデートが必要となります。対応が出来次第、別途ご連絡させていただきます。
(CVE-2014-3566)脆弱性の内容
Bash または Shellshock bug として知られているこの重大な脆弱性はすべてのUNIX OS(Linux、Mac OS、iOS、Solaris、AIX、HP-UX、BSD や Cygwin) に影響します。
bashが追加されている他の OS も該当します。例として、bash が実行可能な WindowsやAndroid が該当します。
この脆弱性により bash shell (一般的に PC 上のコマンドプロンプトまたはMacのターミナルアプリケーションを通してアクセスされます) 内の悪意のあるコードを実行することが可能で、OS を操作することが可能になります。攻撃者は特別に細工された環境値を提供することで、脆弱なシステム上で任意のコマンドを実行することができます。
本脆弱性の詳細な情報については、以下URLより詳細情報をご参照ください。