xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG

2024/03/31 112 users Critical CVE-2024-3094 脆弱性 概要

03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており... 続きを読む

フレッツ光でOpenSSHを使用したファイル転送を行うと異常な速度低下が発生する | スラド

2021/12/13 12 users scp スラド 事象 IPヘッダ フレッツ網

route127 曰く、NTT東日本のフレッツ網の仕様により、家庭用回線から特定のビットを立てたIPv6パケットは転送が保証されなくなり、パケット到達不能や異常な速度低下といった事象が発生するようである。 フレッツ光回線でscpが遅かった話 •フレッツ網はIPヘッダのDSCP値を帯域優先サービスで使用しており、契約に応じて... 続きを読む

開発者たちが慣れ親しんだ「scp」コマンドはなぜ「時代遅れで柔軟性がなくすぐに修正できない」のか？ - GIGAZINE

2020/11/10 26 users scp リモートサーバー GIGAZINE ジョナサン 長年

リモートサーバーとファイルをやり取りできる「scp」コマンドは、システム管理やソフトウェア開発の現場で長年親しまれてきましたが、オープンソースのSSH実装「OpenSSH」の最新版では利用を控えるべきとされています。手軽にサーバー間のファイル操作を行えるscpが非推奨とされた理由について、Linux開発者のジョナサン... 続きを読む

OpenSSH 公式による scp 非推奨宣言を受け, scp, sftp, rsync を比較してみた (2020/5/25 rsync の計測結果について注記追加) - 寒月記

2020/02/19 291 users Twitter sftp scp rsync 速度

2020/5/26 再検証記事追加追記 Twitter でのご指摘を受けて再検証しました, 転送先のファイルを削除していないために差分転送になっていた点を考慮したものとなっています。 rsync の速度については結果が変わっています。 www.kangetsu121.work TL;DR scp はセキュリティ, 今後の開発優先度を考えて公式で非推奨宣言し... 続きを読む

Microsoft、「OpenSSH」をWindows Server 2019の追加機能として提供開始：幅広いOSを使用する企業に役立つ - ＠IT

2018/12/12 26 users クライ FOD Microsoft クライアント オンデマンド

幅広いOSを使用する企業に役立つ：Microsoft、「OpenSSH」をWindows Server 2019の追加機能として提供開始 Microsoftは「OpenSSH」クライアントと同サーバを、「Windows Server 2019」のFOD（オンデマンドの機能追加）として2018年12月11日に提供を開始した。 Microsoftは2018年12月11日（米国時間）、「OpenSSH」クライ... 続きを読む

脆弱性とは呼べない？――OpenSSHでリモートからユーザー名を列挙できる脆弱性 (1/2)：OSS脆弱性ウォッチ（9） - ＠IT

2018/10/04 32 users リモート OSS脆弱性ウォッチ 連載 脆弱性 ユーザー名

OSS脆弱性ウォッチ（9）：脆弱性とは呼べない？――OpenSSHでリモートからユーザー名を列挙できる脆弱性 (1/2) 連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、OpenSSHでリモートからユーザー名を列挙できる脆弱性について。 「OSSセキュリティ... 続きを読む

ASCII.jp：マイクロソフト版のOpenSSHをWindows 10にインストールする｜Windows Info

2017/10/15 54 users コンソールウィンドウ OpenBSDプロジェクト サーバー

Anniversary Updateで動作環境が整った OpenSSHは、Secure Shellプロトコルを利用するためのオープンソースソフトウェア。OpenBSDプロジェクトが開発の中心を担う。このOpenSSHには、SSHクライアント／サーバーの両方が含まれるが、GUIアプリではなく、コンソールウィンドウの中で実行するコマンドラインプログラムである。 OpenSSHは以前より存在していてWi... 続きを読む

OpenSSHに重大バグ

2016/01/29 76 users バッチ パク 実装ミス 両方 移植版

OpenSSHのユーザーはすぐにシステムにパッチを当てるべきだ。新たに報告されたバグは、OpenSSH versions 5.4 から 7.1 に影響を及ぼし、これにはOpenBSD版と移植版の両方が含まれる。 今回新たに明らかになったバグは、SSHコネクションを再開しやすくするローミング機能の実装ミスによるものだ。サーバー側のコードはこの機能をサポートしていないが、クライアント側のコードには、悪... 続きを読む

OpenSSHクライアントで秘密鍵が漏洩する脆弱性(CVE-2016-0777)の内容と対策 - paiza開発日誌

2016/01/15 77 users paiza開発日誌 yoshiokatsuneo 脆弱性

2016 - 01 - 15 OpenSSHクライアントで秘密鍵が漏洩する脆弱性(CVE-2016-0777)の内容と対策 開発ネタ Photo by Ian Britton こんにちは、吉岡(@ yoshiokatsuneo )です。 サーバ管理で使わない人はいない SSH (OpenSSH)ですが、 SSH クライアントで 秘密鍵 が漏洩する 可能性のある 脆弱性 (CVE-2016-0777... 続きを読む

OpenSSHにプライベートキー窃取につながる深刻な脆弱性 - ZDNet Japan

2016/01/15 25 users セキュリティホール クライ メーリングリスト バッチ サーバ

Secure Shellプロトコルを使ってリモート接続を行う際に使われるOpenSSHに、 深刻な脆弱性 が発見され、パッチが公開された。このセキュリティホールは、ユーザーが接続を復旧できるようにするための「実験的」な機能に含まれていた。 このセキュリティホールに関する情報が開示された メーリングリスト によれば、これを悪用することで、悪意のあるサーバが脆弱性のあるクライアントのメモリ内容（クライ... 続きを読む

OpenSSH: client bug CVE-2016-0777

2016/01/14 39 users

Contributed by tj on Thu Jan 14 15:17:19 2016 (GMT) from the i-have-a-fviend-in-Vome dept. This is the most serious bug you'll hear about this week: The issue dubbed CVE-2016-0777 has been identified ... 続きを読む

Windows 版 OpenSSH が登場したので使い方を解説してみる | Webセキュリティの小部屋

2015/10/22 327 users コマンドライン SSH プレリリース版 Microsoft

はじめに Windows を SSH でコマンドラインから制御したいという要望は、Windows のサーバー管理者の長い間の願いでした。2015年の6月頃に Microsoft が OpenSSH を Windows に移植すると発表して大分経ちましたが、数日前、ようやくプレリリース版がリリースされました。 この記事では、 Windows 版の OpenSSH の使い方を解説します。なお、プレリリ... 続きを読む

「OpenSSH 7.0」がリリース、PermitRootLogin設定の変更などセキュリティ強化が行われる | OSDN Magazine

2015/08/13 60 users OSDN Magazine セキュリティ強化 リリース 変更

The OpenBSD ProjectのOpenSSH開発チームは8月11日、フリーのSSH実装「OpenSSH 7.0/7.0p」をリリースした。レガシーな暗号方式のサポート打ち切りなど、安全性の強化が中心となる。 OpenSSHはSSH 2.0のフリー実装で、SFTPクライアントおよびサーバーについてもサポートされている。レガシーからの移行をサポートする目的でSSH 1.3/1.5もサポートす... 続きを読む

米Microsoft、OpenBSD Foundationの「ゴールドコントリビューター」に。OpenSSHを支援へ | OSDN Magazine

2015/07/13 18 users OpenBSD コントリビューター Microsoft 寄付

OpenBSD Foundationは7月7日、米Microsoftが「ゴールド・コントリビューター」として同組織への支援を行うことを発表した。同組織の「ゴールド・コントリビューター」になるのはMicrosoftが初で、「重要な財務的寄付」を受けたと報告している。 ニュース オープンソース デベロッパー Microsoft 末岡洋子 OpenBSD 関連記事米Amazon、オープンソースのTLS実... 続きを読む

新リーダーシップの下で「もう一度挑戦」--MS、PowerShellでOpenSSHをサポートへ - ZDNet Japan

2015/06/03 28 users BSD OpenSSL PowerShell UNIX 大黒柱

信じられるだろうか。MicrosoftがOpenSSHのサポートに向けて取り組んでいるという。BSD、Linux、Unixなどのシステム管理に利用されてきた大黒柱の1つを、サポートする準備を進めているのだ。 実は、これは見かけほど驚くべきことではない。WindowsとLinuxのユーザーが互いに争う時代はすでに終わった。UnixやLinuxのシステム管理者は、サーバ管理に日常的にOpenSSLやO... 続きを読む

OpenSSH環境に対するLogjam脆弱性の対応 | NaviPlus Engineers' Blog

2015/05/25 46 users NaviPlus Engineers IPSec Blog

編集長の佐藤（@akihirosato1975）です。 先週話題になったLogjam脆弱性ですが、SSL/TLS以外にもSSHやIPSecが影響を受けることが明らかになっているのに、SSL/TLS以外での対応について意外と情報がありません。 自分が探した範囲では、OpenSSHについて日本語で情報がまとまっているところがなかったので、とりあえず概略をまとめてみました。 基本的なところについては「O... 続きを読む

【Kindleセール情報】35%OFF！技術評論社のSoftware Design Plusシリーズ、イラスト指南本、撮影ガイド本等が安い - 更地

2014/12/25 77 users 更地 Kindleセール情報 技術評論社 鉄則 内部構造

2014-12-25 【Kindleセール情報】35%OFF！技術評論社のSoftware Design Plusシリーズ、イラスト指南本、撮影ガイド本等が安い Kindleストアで、技術評論社の書籍の35%OFFセールが始まっているようです。以下に、対象になっている本を全てまとめました。「内部構造から学ぶPostgreSQL 設計・運用計画の鉄則」「検索エンジン自作入門」「OpenSSH［実践］... 続きを読む

好評Software Desigin plusシリーズの最新刊『OpenSSH［実践］入門』を，紙・PDF版にて同時販売：ニュースリリース｜gihyo.jp … 技術評論社

2014/11/01 26 users UNIX ニュースリリース plusシリーズ 入門 PDF

ニュースリリース 好評Software Desigin plusシリーズの最新刊『OpenSSH［実践］入門』を，紙・PDF版にて同時販売 2014年11月1日 電子書籍, PDF, OpenSSH, Software Design, システム管理者, UNIX この記事を読むのに必要な時間：およそ 0.5 分 2014年11月1日，株式会社技術評論社は，『OpenSSH［実践］入門』を，紙・PD... 続きを読む

sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まっている

2014/06/24 177 users SSH ろば電子 ssmjp メモ パスワード認証

ものすごく遅いレポートですが、先日、ゆるふわ勉強会こと さしみjp ささみjpの#ssmjp 2014/06 に参加させて頂きました。この中で、@togakushiさんの発表「OpenSSH User EnumerationTime-Based Attack と Python-paramiko」が面白かったのでそのメモです。osuetaとは何かOpenSSHでは、パスワード認証の際に長い文字列(目... 続きを読む

[iOS] 脱獄後のセキュリティ、大丈夫？ 知らない間に「OpenSSH」が入っちゃってない？ | Tools 4 Hack

2014/04/02 27 users iOS 反面 脱獄後 セキュリティ Tools 4 Hack

iOSの脱獄・JailBreakは非常に楽しく便利な物ですが、その反面セキュリティ的に不安な状態となってしまう場合があります。 最近そんな状態のまま放置してしまっている…という方を多く見かけるようになってしまいましたので、この部分について少しご紹介させていただこうかと思います！ 身近なセキュリティ的な不安 最近非常に増えているのが【何も考えずOpenSSHをインストールしちゃっている】もしくは【意... 続きを読む

OpenSSH 6.2を使って公開鍵認証もLDAPで行いたい。 - Qiita [キータ]

2014/02/03 63 users キータ LDAP Qiita Debian 一元

公開鍵認証もLDAPで行いたい。LDAPを使うと各サーバの認証情報を一元管理できるけど、公開鍵認証を行ってる場合、公開鍵も一元管理できると便利だ。OpenSSHはLDAPに対応していないので、OpenSSH-LPKというパッチを当てて対応する必要があるんだけど、OpenSSH 6.2からはパッチを当てなくても良くなったと聞いてやってみることにした。 Wheezy-backportsからDebian... 続きを読む

X11 forwarding — 京大マイコンクラブ (KMC)

2013/12/10 54 users KMC putty xming 京大マイコンクラブ 一例

X11 forwarding に対応している SSH クライアントを使えば、OpenSSH でなくとも同様のことが実現できます。また、クライアントマシン側に X Window Server 環境も必要です。一例として Windows OS の場合であれば、SSH クライアントとして PuTTY を、X Window Server として Xming をそれぞれ使うことで、X11 forwardin... 続きを読む

iptablesやACL、OpenSSHなどを解説：LPI-Japan、「Linuxセキュリティ標準教科書」を無償公開 - ＠IT

2013/10/01 40 users iptables エルピーアイジャパン LPI-Japan

iptablesやACL、OpenSSHなどを解説：LPI-Japan、「Linuxセキュリティ標準教科書」を無償公開 LPI-Japanは2013年10月1日、Linuxサーバのセキュリティを強化し、安全に運用していくために必要な知識をまとめた「Linuxセキュリティ標準教科書」を公開した。 エルピーアイジャパン（LPI-Japan）は2013年10月1日、Linuxサーバのセキュリティを強化し... 続きを読む

OpenSSHのセッションを束ねるControlMasterの使いにくい部分はControlPersistで解決できる - Dマイナー志向

2012/07/07 125 users SSH config コネクション SSHセッション 最初

OpenSSHには1本のコネクションで複数のSSHセッションを束ねて使える機能があります。例えば、~/.ssh/configに Host example.com ControlMaster auto ControlPath ~/.ssh/mux-%r@%h:%p と設定しておくと、最初に接続したsshセッションのコネクション(マスターコネクション)を使いまわし、複数のSSHセッションをマスターコネ... 続きを読む

やばいぞ！ついにEmacs for iOSがやってきた！ | ひとりぶろぐ

2011/06/22 93 users iOS sshd iPhone 伝播 MORE

@aodawa さん @nean さんからの伝播でEmacs for iOSがあることを知りました。 Aaron GriffithさんのCydiaリポジトリ「Gamma Level」からインストールすることができます。 iPhone Ports ということで早速試してみました。（続きは[MORE]から）iPhoneにOpenSSHをインストールし、ローカルにsshdを立てる。Ikee対策は必須。 ... 続きを読む