2016-09-24 08:29 (by maya)

OpenSSL 1.0.2i が公開されました。

OpenSSL 1.0.2i には、脆弱性 CVE-2016-6304, CVE-2016-2183, CVE-2016-6303, CVE-2016-6302, CVE-2016-2182, CVE-2016-2180, CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2181, CVE-2016-6306 に対する修正が含まれています。

https://www.openssl.org/news/secadv/20160922.txt


Tera Term (TTSSH) は OpenSSL を利用しており、脆弱性(CVE-2016-2178)の影響を受ける可能性があります。


CVE-2016-2178

公開鍵認証に DSA 鍵を使用している場合、サイドチャネル攻撃(タイミング攻撃)により秘密鍵を復元される可能性があります。

計算能力や解読技術の向上のために、いまや DSA 鍵(1024bit)は安全とは言えないため、強度の高い他の種類の鍵に移行することを強く推奨します(接続先 SSH サーバが対応していることが前提ですが)。

cf. https://www.ipa.go.jp/files/000013413.pdf

Tera Term project news list