[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:00577] ssh の Password 認証
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:00577] ssh の Password 認証
- From: HARUYAMA Seigo <haruyama@xxxxxxxx>
- Date: Mon, 02 Jul 2001 14:11:29 +0900
Message-ID:<14066.994049855@xxxxxxxxxxxxxxxxxxxxxx>
Subject:[stalk:00575] Re: telnet 許可の専用サーバがクラッキングされると
にて
KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx> さんは書きました。
小島さん> * PasswordAuthentication を利用する場合は、中間介入 (man-in-the-middle)
小島さん> 攻撃、dns 詐称攻撃、トロイの木馬版 sshd への入れ換え攻撃などを受
小島さん> けた場合に、気づかずに password を入力してしまうと、攻撃者に
小島さん> password を盗み取られてしまう可能性がある
現在OpenSSHではクライアント側の設定でStrictHostKeyCheckingが
no以外の場合にknown_hostsファイルにある接続先ホストの公開鍵と
送られてきた公開鍵が異なると、接続を行いません。
noの場合でも、Password認証、エージェント,X,TCPの転送が
無効になります。
(登録された鍵をユーザが手で消すなどして)公開鍵が登録されていない
場合には、passwordを盗み取られる可能性があります。
セキュリティホールmemoでも取りあげられていましたが、
古いversionのssh(たとえばOpenSSH 2.3.0以前)
ではPassword認証の際にパスワードの長さの範囲などを
推測できる、という問題があります。
http://www.securityfocus.com/templates/archive.pike?list=1&mid=169840
--
春山 征吾 HARUYAMA Seigo
haruyama@xxxxxxxx
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
まだいる? 梅雨前線。
http://tenki.infoseek.co.jp/gms_b.html?svx=971122