SUSE が SSH v2 プロトコルの Terrapin Attack（CVE-2023-48795）に対処

2023年12月18日、Ruhr University Bochumの研究者が、コードネーム「Terrapin Attack」と呼ばれるSSH v2プロトコルの欠陥を発表しました。

暗号化されたSSHメッセージを通信の最初に削除することを可能にし、SSH接続のセキュリティの一部をダウングレードすることを可能にします。

この欠陥は、新しいトラフィックやコマンドを注入することはできません。

この欠陥はすべての SUSE Linux 製品の様々な SSH ソフトウェアに影響を及ぼします。

以下はSUSE 製品に含まれる影響を受けるパッケージの一覧です:

• openssh: SUSE Linux Enterprise のすべてのバージョンが影響を受けます。
• libssh: 0.8.0 以降のバージョン、SUSE Linux Enterprise 12 SP5 以降が影響を受けます。
• libssh2_org: 0.11.0 以降のバージョン、SUSE Linux Enterprise 12 SP5 以降が影響を受けます。
• golang.org/x/crypto/ssh: 様々な GO パッケージに組み込まれている GO ssh モジュールが影響を受けます。
• jsch: SUSE が出荷している Java SSH の現在のバージョンは影響を受けません。
• putty: すべてのバージョンが影響を受けます。

SUSE Linux Enterprise に含まれる opensshの修正は 12 月 18 日に提供されており、その他のパッケージは数日後に発行される予定です。

緩和策については、以下の TID に記載されています。

TID と CVE URL のリスト:

• 研究者ブログ: https://terrapin-attack.com/
• SUSE CVEページ: https://www.suse.com/security/cve/CVE-2023-48795
• TID: https://www.suse.com/support/kb/doc/?id=000021295

この脆弱性は、パッチが適用されていないシステムにとっては深刻なものになる可能性がありますが、SUSE 製品にパッチを適用して最新の状態を維持している方にとっては、ほとんど危険ではありません。

私たちは、影響を受けるすべてのバージョンに対して修正とアップデートをリリースし、障害の可能性を排除します。

ご質問やご不明な点がございましたら、SUSEの担当窓口までお問い合わせください。

セキュリティと信頼性は、SUSEにとって引き続き最優先事項です。そして常に、お客様とパートナーの皆様が最優先です。