Terrapin Attack (CVE-2023-48795) への反応にコメントしてみた
- maya_shack
- 4286
- 0
- 0
- 0
この攻撃についての資料
「うーん?」という反応
OpenSSHさん… CVE-2023-48795 cve.mitre.org/cgi-bin/cvenam…
2023-12-19 09:00:31OpenSSH の問題ではなく SSH プロトコルの問題です。
「OpenSSH を使っているので対応しなくては…」という意味ならわかります。
RedHatさんの解説が分かりやすいかも。実用上の脅威は限定的としながらも、暗号的にはオワコンと…。 CVE-2023-48795- Red Hat Customer Portal access.redhat.com/security/cve/c…
2023-12-19 09:02:25「SSH の既存の鍵交換で使用するとき」の問題なので、暗号的なオワコンではないです。
strict KEX に対応していないクライアントが存在する可能性を考えるとサーバはこういう設定になるよね、というのはわかります。
更新するかと思ってTeraTerm公式を見に行ったらTeraTerm5がいつの間にかベータじゃなくなっていた。AWSインスタンスの(というかUbuntuとかの)デフォルト状態のsshd設定だと ssh-rsa がデフォルトで無効なのでTeraTerm4だと認証が通らずいちいち設定変更しないといけないので面倒くさかったんだよね twitter.com/Tera_Term/stat…
2023-12-19 09:48:51SSHプロトコルに、中間者がメッセージを操作し、SSH通信路の完全性 (Integrity) を破る攻撃が発見されました。 Tera Termの更新をおすすめします。また、接続先サーバの対応についてもサーバ管理者に確認してください。 teratermproject.github.io/SA/CVE-2023-48…
2023-12-19 04:23:26Tera Term 4 も 4.107 以降は rsa-sha2 に対応しています。
Tera Term 4.107 Release github.com/TeraTermProjec… - SSH の rsa-sha2-256/512 (RSA/SHA2) に対応しました。 - 不具合報告 github.com/TeraTermProjec… Tera Term 4.x は今回のリリースをもって最後になる予定です。 Tera Term 5.x への移行をおすすめします。
2023-10-15 21:43:05CVE-2023-48795だけどOpenSSH以外のプロダクトの対応がまだ来てないっぽいなぁ。TeraTermは5.1~対応と書いてあるけどダウンロードページにまだないっぽい?私見だけど、攻撃を受けても暗号強度が下がるだけっぽいし超特急で更新しなければならないものではないという認識。
2023-12-19 11:26:00次のとおり、この時点で PuTTY 0.80 と Tera Term 5.1 はリリースされていました。
Strict KEXに対応しているのは、自分が把握しているのだとOpenSSH 9.6, PuTTY 0.80, Tera Term 5.1, Tera Term 4.108です。Tera Termは今日中には出せると思います。 これらに更新できない場合は、chacha20-poly1305@openssh.com, *-etm@openss.comの無効化も検討してください。
2023-12-19 00:37:21Tera Term 5.1 をリリースしました。 github.com/TeraTermProjec… SSH の "strict key exchange" に対応しています。
2023-12-19 04:23:10Tera Term 4.108 をリリースしました。 github.com/TeraTermProjec… SSH の "strict key exchange" に対応しています。
2023-12-19 04:23:05この時点で Tera Term 5.1 はリリースされていました。
SSH(というよりchacha20-poly1305と*-etm暗号化方式)にプロトコル脆弱性(Terrapin/CVE-2023-48795)。OpenSSHは9.6以降、TeraTermは5.1/4.108以降で対応とな...年末アップデート祭り開催かのう... nvd.nist.gov/vuln/detail/CV…
2023-12-19 11:53:26これらのアルゴリズム自体の問題ではなく、「これらのアルゴリズムを SSH の既存の鍵交換で使用するとき」の問題です。
また、EtM は暗号アルゴリズムではなく MAC アルゴリズムです。
OpenSSH の問題ではなく SSH プロトコルの問題です。
「OpenSSH を使っているので対応しなくては…」という意味ならわかります。
OpenSSH の問題ではなく SSH プロトコルの問題です。