製品・ソフトウェアに関する情報
Vulnerability Search
libssh における SSH セッションを復号される脆弱性
Title libssh における SSH セッションを復号される脆弱性
Summary

libssh は、(1) ディフィー・ヘルマン グループ 1 および (2) ディフィー・ヘルマン グループ 14 鍵交換メソッド用に生成された短期(ephemeral)秘密鍵を 128 ビットに不適切に切り詰めるため、SSH セッションを復号または傍受される脆弱性が存在します。 本脆弱性は、"bits/bytes confusion bug" と呼ばれています。

Possible impacts 中間者攻撃 (man-in-the-middle attack) により、SSH セッションを復号または傍受される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Feb. 23, 2016, midnight
Registration Date April 20, 2016, 2:42 p.m.
Last Update April 20, 2016, 2:42 p.m.
CVSS3.0 : 警告
Score 5.9
Vector CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
CVSS2.0 : 警告
Score 4.3
Vector AV:N/AC:M/Au:N/C:P/I:N/A:N
Affected System
レッドハット
Red Hat Enterprise Linux Extras (v. 7)
Debian
Debian GNU/Linux 7.0
Debian GNU/Linux 8.0
Fedora Project
Fedora 22
Fedora 23
Canonical
Ubuntu 12.04 LTS
Ubuntu 14.04 LTS
Ubuntu 15.10
libssh
libssh 0.7.3 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2016年04月20日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2016-0739
Summary

libssh before 0.7.3 improperly truncates ephemeral secrets generated for the (1) diffie-hellman-group1 and (2) diffie-hellman-group14 key exchange methods to 128 bits, which makes it easier for man-in-the-middle attackers to decrypt or intercept SSH sessions via unspecified vectors, aka a "bits/bytes confusion bug."

Publication Date April 14, 2016, 2:59 a.m.
Registration Date Jan. 26, 2021, 2:04 p.m.
Last Update Nov. 21, 2024, 11:42 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:15.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:a:libssh:libssh:*:*:*:*:*:*:*:* 0.7.2
Configuration4 or higher or less more than less than
cpe:2.3:o:fedoraproject:fedora:22:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:23:*:*:*:*:*:*:*
Configuration5 or higher or less more than less than
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List