| Title | Fedora などの製品で使用される OpenSSH サーバにおけるローカルログインを強制する認証要求を回避される脆弱性 |
|---|---|
| Summary | Fedora および Red Hat Enterprise Linux で使用される OpenSSH サーバには、Kerberos 環境で稼働している場合、リモート認証されたユーザが別ユーザの .k5users ファイルにリストされている場合、別ユーザとしてログインされ、ローカルログインを強制する認証要求を回避される脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-287: Authentication Issues (不適切な認証) と識別されています。 http://cwe.mitre.org/data/definitions/287.html |
| Possible impacts | リモート認証されたユーザにより、別ユーザとしてログインされ、ローカルログインを強制する認証要求を回避される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Dec. 2, 2014, midnight |
| Registration Date | Dec. 10, 2014, 2:09 p.m. |
| Last Update | May 12, 2015, 5:21 p.m. |
| CVSS2.0 : 警告 | |
| Score | 4 |
|---|---|
| Vector | AV:N/AC:L/Au:S/C:N/I:P/A:N |
| OpenBSD |
| OpenSSH |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年12月10日] 掲載 [2015年05月12日] ベンダ情報:レッドハット (RHSA-2015:0425) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The OpenSSH server, as used in Fedora and Red Hat Enterprise Linux 7 and when running in a Kerberos environment, allows remote authenticated users to log in as another user when they are listed in the .k5users file of that user, which might bypass intended authentication requirements that would force a local login. |
|---|---|
| Publication Date | Dec. 7, 2014, 12:59 a.m. |
| Registration Date | Jan. 26, 2021, 3:22 p.m. |
| Last Update | Nov. 21, 2024, 11:20 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:openbsd:openssh:-:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:* | ||||
| 2 | cpe:2.3:o:redhat:fedora:7:*:*:*:*:*:*:* | ||||