Apple、OS X 10.11.4およびセキュリティアップデート 2016-002でOpenSSHクライアントの脆弱性「CVE-2016-0777」および「CVE-2016-0778」を修正。

スポンサーリンク

 Appleは「OS X 10.11.4」および「セキュリティアップデート 2016-002」でOpenSSHクライアントの脆弱性「CVE-2016-0777」および「CVE-2016-0778」を修正したと発表しています。詳細は以下から。

OpenSSH-Hero

 脆弱性「CVE-2016-0777」および「CVE-2016-0778」はOpenSSHクライアントにドキュメント化されていないローミング機能を利用することで秘密鍵の漏洩やバッファオーバフローの可能性があるというもので、OpenSSHはこの脆弱性を修正した「OpenSSH v7.1p2」をリリースしていましたが、

Apple-fix-CVE-2016-0777-and-0778

Impact: Connecting to a server may leak sensitive user information, such as a client’s private keys
Description: Roaming, which was on by default in the OpenSSH client, exposed an information leak and a buffer overflow. These issues were addressed by disabling roaming in the client.

About the security content of OS X El Capitan v10.11.4 and Security Update 2016-002 – Apple Support

 先日公開された「OS X 10.11.4 El Capitanアップデート」およびMavericks, Yosemite向けに公開された「セキュリティアップデート 2016-002」でAppleはこの脆弱性を修正したと発表しています。(OpenSSH自体はバージョンアップされていないようです)

OS-X-El-Capitan-10114-ssh-v

関連リンク