PR

 米Red Hatは米国時間2008年8月22日,同社のLinxディストリビューション向けとして,オープンソースSSH(Secure Shell)ソフトウエア・パッケージ「OpenSSH」のセキュリティ・アップデート(修正パッチ)を公開した。同社のサーバーが不正アクセスされ,偽署名がOpenSSHに付けられた問題に対処するもの。

 同社は8月第3週,サーバーが不正アクセスされたことを発見。不正アクセス時点で,「Red Hat Enterprise Linux 4」(i386/x86_64版)と「Red Hat Enterprise Linux 5」(x86_64版)のOpenSSHパッケージが署名できる状態にあったという。パッケージに偽の署名が施されていると,ソースコードの信頼性を保証できず,悪質なコード混入の恐れがある。

 また,この修正パッチを適用すると,非営利組織MITREが管理番号「CVE-2007-4752」を割り当てた,OpenSSHのX11クッキー処理に残っていた問題を修正できる。

 同修正パッチの対象となるソフトウエアは以下の通り。

・Red Hat Desktop(v. 4)
・Red Hat Enterprise Linux(v. 5 server)
・Red Hat Enterprise Linux AS(v. 4)
・Red Hat Enterprise Linux AS(v. 4.5.z)
・Red Hat Enterprise Linux Desktop(v. 5 client)
・Red Hat Enterprise Linux ES(v. 4)
・Red Hat Enterprise Linux ES(v. 4.5.z)
・Red Hat Enterprise Linux WS(v. 4)

[発表資料(その1)] [発表資料(その2)]