| タイトル | Fedora などの製品で使用される OpenSSH サーバにおけるローカルログインを強制する認証要求を回避される脆弱性 |
|---|---|
| 概要 | Fedora および Red Hat Enterprise Linux で使用される OpenSSH サーバには、Kerberos 環境で稼働している場合、リモート認証されたユーザが別ユーザの .k5users ファイルにリストされている場合、別ユーザとしてログインされ、ローカルログインを強制する認証要求を回避される脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-287: Authentication Issues (不適切な認証) と識別されています。 http://cwe.mitre.org/data/definitions/287.html |
| 想定される影響 | リモート認証されたユーザにより、別ユーザとしてログインされ、ローカルログインを強制する認証要求を回避される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2014年12月2日0:00 |
| 登録日 | 2014年12月10日14:09 |
| 最終更新日 | 2015年5月12日17:21 |
| CVSS2.0 : 警告 | |
| スコア | 4 |
|---|---|
| ベクター | AV:N/AC:L/Au:S/C:N/I:P/A:N |
| OpenBSD |
| OpenSSH |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2014年12月10日] 掲載 [2015年05月12日] ベンダ情報:レッドハット (RHSA-2015:0425) を追加 |
2018年2月17日10:37 |
| 概要 | The OpenSSH server, as used in Fedora and Red Hat Enterprise Linux 7 and when running in a Kerberos environment, allows remote authenticated users to log in as another user when they are listed in the .k5users file of that user, which might bypass intended authentication requirements that would force a local login. |
|---|---|
| 公表日 | 2014年12月7日0:59 |
| 登録日 | 2021年1月26日15:22 |
| 最終更新日 | 2024年11月21日11:20 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:openbsd:openssh:-:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:* | ||||
| 2 | cpe:2.3:o:redhat:fedora:7:*:*:*:*:*:*:* | ||||