Terrapin Attack (CVE-2023-48795) への反応にコメントしてみた

Tomohiro Arikita @tarikita802

OpenSSHさん… CVE-2023-48795 cve.mitre.org/cgi-bin/cvenam…

Tomohiro Arikita @tarikita802

RedHatさんの解説が分かりやすいかも。実用上の脅威は限定的としながらも、暗号的にはオワコンと…。 CVE-2023-48795- Red Hat Customer Portal access.redhat.com/security/cve/c…

cocoon @cocoonP

更新するかと思ってTeraTerm公式を見に行ったらTeraTerm5がいつの間にかベータじゃなくなっていた。AWSインスタンスの（というかUbuntuとかの）デフォルト状態のsshd設定だと ssh-rsa がデフォルトで無効なのでTeraTerm4だと認証が通らずいちいち設定変更しないといけないので面倒くさかったんだよね twitter.com/Tera_Term/stat…

TeraTerm Project @Tera_Term

SSHプロトコルに、中間者がメッセージを操作し、SSH通信路の完全性 (Integrity) を破る攻撃が発見されました。 Tera Termの更新をおすすめします。また、接続先サーバの対応についてもサーバ管理者に確認してください。 teratermproject.github.io/SA/CVE-2023-48…

2023-12-19 04:23:26

TeraTerm Project @Tera_Term

Tera Term 4.107 Release github.com/TeraTermProjec… - SSH の rsa-sha2-256/512 (RSA/SHA2) に対応しました。 - 不具合報告 github.com/TeraTermProjec… Tera Term 4.x は今回のリリースをもって最後になる予定です。 Tera Term 5.x への移行をおすすめします。

さみぃ @_samy_3

CVE-2023-48795だけどOpenSSH以外のプロダクトの対応がまだ来てないっぽいなぁ。TeraTermは5.1～対応と書いてあるけどダウンロードページにまだないっぽい？私見だけど、攻撃を受けても暗号強度が下がるだけっぽいし超特急で更新しなければならないものではないという認識。

いわもと こういち @ttdoda

PuTTY 0.80 も出てる。 chiark.greenend.org.uk/~sgtatham/putt…

いわもと こういち @ttdoda

Strict KEXに対応しているのは、自分が把握しているのだとOpenSSH 9.6, PuTTY 0.80, Tera Term 5.1, Tera Term 4.108です。Tera Termは今日中には出せると思います。 これらに更新できない場合は、chacha20-poly1305@openssh.com, *-etm@openss.comの無効化も検討してください。

TeraTerm Project @Tera_Term

Tera Term 5.1 をリリースしました。 github.com/TeraTermProjec… SSH の "strict key exchange" に対応しています。

TeraTerm Project @Tera_Term

Tera Term 4.108 をリリースしました。 github.com/TeraTermProjec… SSH の "strict key exchange" に対応しています。

ば〜そん @barson_4

回避方法のTeraTerm5.1がリリースされてない... twitter.com/Tera_Term/stat…

Kazunori ANDO @ando_Tw

SSH(というよりchacha20-poly1305と*-etm暗号化方式)にプロトコル脆弱性(Terrapin/CVE-2023-48795)。OpenSSHは9.6以降、TeraTermは5.1/4.108以降で対応とな...年末アップデート祭り開催かのう... nvd.nist.gov/vuln/detail/CV…

チャイナ坊 @cyberhawk

CVE-2023-48795 opensshですか…

Nobuyoshi Sato (発信者情報開示本Booth倉庫販売中) @7n2jju

OpenSSH自体の問題なのでPuTTYとかTeraTermとかもか。