まさかの3日連続セキュリティ関連の記事になりました。なお、百度はどうでもいいので取り扱わないもよう。
OpenSSHに情報流出の脆弱性
OpenSSHのクライアントコードに情報流出の脆弱性、秘密鍵が流出する恐れも -INTERNET Watch
SSHプロトコルの利用において最もメジャーなソフトウェアである「OpenSSH」に、情報流出の脆弱性が存在するという報告がセキュリティ組織「CERT」よりありました。
それを受けて、OpenSSHでは修正版となる「OpenSSH 7.1p2」の提供を開始しています。
この脆弱性はOpenSSHクライアントのバージョン5.4~7.1p1に試験的に実装されているSSH接続のローミング機能がデフォルトで有効になっており、悪意あるサーバを利用してしまうと秘密鍵を含むクライアントの情報を流出させてしまう可能性があったとのこと。
回避するには7.1p2を導入するか、ローミング機能を無効にする必要があります。
FFmpegにデータ流出の脆弱性
動画/音声のコーデックやコンテナを搭載するマルチメディアフレームワーク「FFmpeg」に脆弱性が存在するとして、ロシアの開発者が「Softpedia」を通じて報告されています。
この脆弱性が悪用された場合、細工された動画データを読み込ませることでローカルにあるデータがリモートのサーバに送信される危険性があるとのことです。ただ、遠隔からコードが実行される危険性がないとも。
すでにFFmpegの開発者側も問題を認識しており、数日中には修正版がリリース予定だそうです。それまではHLS(HTTP Live Streaming)機能を無効にしたFFmpegをリビルドして差し替えるといった回避策が必要になるようです。
多くのメディアプレーヤーにも搭載されている可能性があり、細工されたファイルを開かなくてもインデックス作成といった作業が行われただけでもトリガーになり得るようですので、修正版がリリースされた暁にはすぐにアップデートを行いましょう。
いくつかのCisco製品にコントロールが乗っ取られる脆弱性
Ciscoプロダクトに脆弱性 - US-CERT | マイナビニュース
ネットワーク機器の大手であり、ネットワーク技術者認定資格も取り扱っているCiscoの複数の製品に脆弱性があることがセキュリティ組織「CERT」により報告されています。
存在する脆弱性は「Wireless LAN Controller」に1件、「Identity Services Engine」に2件、「Aironet 1800 Series Access Point」に2件で、リモートからの攻撃によりシステムの制御権が乗っ取られる危険性があります。
各製品のユーザは、脆弱性の内容を確認し必要に応じてアップデートすることが推奨されています。
