検出

FreeBSD:PuTTY -- 秘密鍵を使用後にメモリからスクラブすることに失敗する(92fc2e2b-c383-11e4-8ef7-080027ef73ec)

low Nessus プラグイン ID 81659

Language:

概要

リモート FreeBSD ホストには、セキュリティ関連の更新がありません。

説明

Simon Tatham の報告:

PuTTY にメモリ内の機密データがあり、それが必要になることはもはやないならば、マルウェアが後に PuTTY プロセスへのアクセス権を取得する場合、またはメモリがディスクに交換されるか、クラッシュダンプファイルに書き込まれる場合に備えて、そのメモリからデータを一掃する必要があります。この分かりやすい例は、SSH ログイン中に入力されたパスワードです。その他の例には、廃止されたセッションキー、公開鍵のパスフレーズ、および公開鍵の私的分割などがあります。

PuTTY 0.63 以前のバージョンでは、ディスクファイルから秘密鍵をロードした後に、関数 ssh2_load_userkey で、秘密鍵のコピーを含むメモリバッファを間違って漏洩しています。比較関数 ssh2_save_userkey(PuTTYgen にのみ呼び出される)もコピーを漏洩できますが、それを保存しようとするファイルが作成されない場合に限られます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?474c3142

http://www.nessus.org/u?f43c292b

プラグインの詳細

深刻度: Low

ID: 81659

ファイル名: freebsd_pkg_92fc2e2bc38311e48ef7080027ef73ec.nasl

バージョン: 1.6

タイプ: local

公開日: 2015/3/6

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 1.4

CVSS v2

リスクファクター: Low

基本値: 2.1

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:putty, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2015/3/5

脆弱性公開日: 2015/2/28

参照情報

CVE: CVE-2015-2157