United States Computer Emergency Readiness Team (US-CERT)は3月11日(現地時間)、「OpenSSH Releases Security Update」において、OpenSSHに脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔からの攻撃で情報摂取などが行われる危険性があるとしている。
脆弱性が存在するプロダクトおよびバージョン、その適用条件は次のとおり。
・X11Forwarding機能を有効にしたOpenSSH 7.7p2よりも前のすべてのバージョン
X11Forwarding機能はデフォルトでは無効化されているほか、この脆弱性ではアクセスが可能なユーザーがxauth(1)に不適切な入力を行うことで任意のファイルを読めるようになるもので、通常の設定になっている限り、ユーザーの権限以上の操作は行われないことになっている。そのため、この脆弱性の影響範囲は比較的限定的と言える。
United States Computer Emergency Readiness Teamはユーザーや管理者に対し、「OpenSSH Security Advisory: x11fwd.adv」の内容を確認するとともに、該当するプロダクトを使用している場合には必要に応じてアップデートを実施することを推奨している。
(後藤大地)