BitVise WinSSH にサービス使用不能拒否を引き起こす脆弱性 | ScanNetSecurity
2026.04.16(木)

BitVise WinSSH にサービス使用不能拒否を引き起こす脆弱性

[翻訳:関谷 麻美]
2002年3月18日

国際 海外情報
18 views
facebookLINE
[翻訳:関谷 麻美]
2002年3月18日

◆概要:
 BitVise Secure Shell 2 は、パブリックなネットワークを介したコンピュータ間の様々な接続に安全性を提供するパワフルなプロトコルだ。すなわち、安全なログイン・シェルは、多数の利用され得る SSH2 の一つだ。
 "悪意ある接続の試み" を利用して、悪意あるユーザはサーバを SSH 接続要求を受け入れない状態にする。

◆詳細:
脆弱なシステム:
Windows 2000 Server で稼動する 2002年3月16日より前の BitVise WinSSH
 SSHd と下位のソケット・レイヤーの違いにより、セッションを突然に終了させ、そしてSSHd がセッションを適切に解放させないようにすることができる。各々の不完全な接続は、いくつかのメモリ・ハンドルを使い果たし、ページングされないカーネル・メモリーを割り当てる。

 Windows は、ある一定量のカーネル・メモリーの割り当てのみ処理することができ、その量を超えると、殆どのアプリケーションは異常な動作を始める。

 テストの際、そのサーバは port 22 への接続の受け入れを停止した(接続拒否)。これはおよそ 1840x254 接続を取得したが、時間もしくは帯域幅に関するものではないので、通常のダイアルアップのモデムからこの攻撃を実行し、未だに成功することが可能と思われる。

修正プログラム:
 ベンダーは、未承認の同時セッションの量を制限し、各接続に 60 秒のタイムアウトを設定した。

◆ベンダーの対応:
 ベンダーには2002年2月25日に連絡をとった。そして、ベンダーはこの問題を修正した新規ビルドを3月16日にリリースした。2002年3月18日、本アドバイザリーで指摘された問題をパッチが修正したことを確認した。

◆解決策:
 最新版ビルドにアップグレードすること。
下記の URL からダウンロードできる。

http://www.bitvise.com/existing-users.html

◆追加情報:
 Peter Grundl がこの情報を提供した。

[情報提供:SecuriTeam]
http://www.securiteam.com/

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 「すでに感染してしまった」最悪のシナリオで訓練実施 ~ LINEヤフーのランサムウェア対応訓練

    「すでに感染してしまった」最悪のシナリオで訓練実施 ~ LINEヤフーのランサムウェア対応訓練

  2. 佐藤工業の作業所の NAS に不正アクセス、本人情報と緊急連絡先が閲覧された可能性

    佐藤工業の作業所の NAS に不正アクセス、本人情報と緊急連絡先が閲覧された可能性

  3. 不正アクセスの被害原因は「ID、パスワード管理の不備」が最多に ~ 2025年「コンピュータウイルス・不正アクセスの届出状況」

    不正アクセスの被害原因は「ID、パスワード管理の不備」が最多に ~ 2025年「コンピュータウイルス・不正アクセスの届出状況」

  4. ホームページ内の個人情報非表示の Excel ファイルは検索エンジンの検索結果から閲覧可能

    ホームページ内の個人情報非表示の Excel ファイルは検索エンジンの検索結果から閲覧可能

  5. 178,782件の迷惑メール送信 ~ 奈良女子大学のメール送信サーバに設定上の不備

    178,782件の迷惑メール送信 ~ 奈良女子大学のメール送信サーバに設定上の不備

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP