Scientific Linux セキュリティ更新：SL4.x i386/x86_64 の openssh

medium Nessus プラグイン ID 60306

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

ssh サーバーがアカウント名を監査サブシステムに書き込む方法に欠陥が見つかりました。攻撃者が監査メッセージの一部が含まれる文字列を注入し、そのためにログ解析ツールが誤解または混乱する可能性があります。（CVE-2007-3102）

OpenSSH サーバーが GSSAPI 認証リクエストを処理する方法で、欠陥が見つかりました。OpenSSH サーバーで GSSAPI 認証が有効になっているときに、リモートの攻撃者が、ユーザー名が有効かどうかを確認できることがあります。（CVE-2006-5052）

以下のバグも修正されました：

- ssh デーモンは、ssh セッションが閉じられた際、監査メッセージを生成しませんでした。

- GSSAPI 認証が、DNS またはロードバランスを使用するクラスター上で失敗することがありました。

- sftp クライアントおよびサーバーが、一部のケースで少量のメモリを漏洩していました。

- sftp クライアントは、指定先ディスクドライブがいっぱいのとき、適切に終了せず、バッチモードで非ゼロステータスを返しませんでした。

- ssh デーモンを initscript で再起動したとき、古い実行中の ssh デーモンが適切に kill されておらず ssh デーモンがうまく再起動しないことがありました。

- チャレンジ/応答認証の有効時、ユーザー認証がタイムアウトした場合、pam サブプロセスが終了しませんでした。