ようこそゲストさん

特に重要なセキュリティ欠陥・ウイルス情報

メッセージ欄

2008年11月の日記

一覧で表示する

2008/11/19(水) SSH 通信において一部データが漏えいする可能性

マルチOS

OpenSSH を含む SSH 実装において、成功する確率はたいへん低いものの SSH 暗号化通信におけるデータが一部漏えいする可能性が指摘されています。

この欠陥を回避するには、暗号化において CBC (暗号ブロック連鎖) モードではなく CTR (カウンター) モードを使用します。あるいは暗号化アルゴリズムに Arcfour を使用しても回避できます。OpenSSH のデフォルト設定では CBC モードが使用されますが、OpenSSH のクライアント設定ファイル (/etc/ssh/ssh_config や ~/.ssh/config) において次のように設定すれば、CTR モードや Arcfour が使用されます。

Host *
  Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour

上記は OpenSSH 4.2 以降で利用できる設定です。クライアントが OpenSSH 4.1 以前の場合は arcfour128 と arcfour256 が利用できないので、こうします。

Host *
  Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour

さらに、クライアントが OpenSSH 3.6 以前の場合は CTR モードが利用できないので、こうします。

Host *
  Ciphers arcfour

rins.st.ryukoku.ac.jp の OpenSSH (5.0p1) については上記設定を行ってあります。

その他の SSH 実装についてですが、

  • SSH Tectia については Plaintext Recovery Attack Against SSH (ssh.com) を参照してください。
  • PuTTY 0.60 は標準で CTR モードを使用するようです。
  • Tera Term (旧称 UTF-8 TeraTerm Pro with TTSSH2) については、近くリリースされるはずのバージョン 4.61 で CTR モードに対応されます。Arcfour には対応していません。
  • Poderosa については、最新のバージョン 4.10 においても、CTR モードにも Arcfour にも対応していないようです。

関連キーワード: OpenSSH, SSH

2008/11/19(水) Adobe AIR 1.5 が公開されています

マルチOS

Adobe AIR 1.5 が公開されています。AIR 1.1 以前に存在する欠陥が修正されています。

AIR の利用者は更新してください。

関連キーワード: AIR

2008/11/16(日) Safari 3.2 が公開されています

マルチOS

Safari 3.2 が公開されています。複数の重大な欠陥が修正されています。

Safari を利用している場合は更新して下さい。

関連キーワード: Safari

2008/11/16(日) Firefox 2.0.0.18 / 3.0.4 が公開されています

マルチOS

Firefox 2.0.0.18 / 3.0.4 が公開されています。複数の重大な欠陥が修正されています。

Firefox 利用者は更新してください。また Firefox 2.x 以前の利用者は、Firefox 3.0.4 への移行を検討してください。

なお、Firefox で修正された欠陥の一部は Thunderbird にも存在し、Thunderbird 2.0.0.18 で修正される予定です。(まだ公開されていません)

関連キーワード: Firefox, Thunderbird

2008.11.20 追記

Thunderbird 2.0.0.18 が公開されました。

また、Firefox 2.x のセキュリティ更新の提供が 2008 年 12 月中旬に終了することが正式にアナウンスされています。Firefox 2.x 以前の利用者は、Firefox 3.0.4 への移行を早急に検討・実施してください。

2008/11/12(水) Flash Player 9.0.151.0 が公開されています

マルチOS

Flash Player 9.0.151.0 が公開されています。複数の欠陥が修正されています。

Flash Player 9.0.151.0 で修正されている欠陥は、最新の Flash Player 10.0.12.36 でも修正されています。また Adobe は Flash Player 9.0.151.0 へのアップデートではなく Flash Player 10.0.12.36 へのアップグレードを推奨しています。互換性の問題が発生するなど、やむを得ない場合にのみ 9.0.151.0 を選択してください。

Flash Player 9.0.151.0 をインストールしたい場合は、ダウンロードページから入手できます。また RINS web ページでも配布しています (学内からのみ入手可)。

なお、使用している Flash Player のバージョンは Macromedia Flash Player のバージョンテスト (adobe) で確認できます。

関連キーワード: Flash Player