OpenSSH 情報

2006/09/28, OpenSSHで利用しているライブラリOpenSSL 0.9.7l/0.9.8d がリリースされました. 0.9.7k/0.9.8c までに脆弱性が発見されたためです.

OpenSSL Security Advisory [28th September 2006]によると, 次の脆弱性が見付かっています.

• ASN.1 Denial of Service Attacks (CVE-2006-2937, CVE-2006-2940)
• SSL_get_shared_ciphers() buffer overflow (CVE-2006-3738)
• SSLv2 Client Crash (CVE-2006-4343)

OpenSSH でもASN.1のパースは行なっているので, 影響があるかもしれません. 残りの2つは関係ないでしょう.