← 戻る
OS
CVE-2015-8325 high CVSS 7.8

The do_setup_env function in session.c in sshd in OpenSSH through 7.2p2, when the UseLogin feature is enabled and PAM is configured to read .pam_environment files in user home directories, allows loca...

概要

The do_setup_env function in session.c in sshd in OpenSSH through 7.2p2, when the UseLogin feature is enabled and PAM is configured to read .pam_environment files in user home directories, allows local users to gain privileges by triggering a crafted environment for the /bin/login program, as demons...

AI要約 openai / gpt-4o

OpenSSHのsshdにおける脆弱性で、UseLogin機能とPAMが設定された状態で特定の環境変数を悪用することで、ローカルユーザーが特権を昇格させることが可能です。この脆弱性は、LD_PRELOAD環境変数を用いて悪用されることが示されています。
❓ 何が問題か
OpenSSHのsshdにおける環境設定の脆弱性
📍 影響範囲
UseLogin機能が有効で、PAMがユーザーディレクトリ内の.pam_environmentファイルを読み込むよう設定されている場合
🔥 重要度
環境変数を悪用して特権を昇格させることが可能
🔧 修正方法
OpenSSHを最新バージョンにアップデートし、関連するセキュリティパッチを適用する。
🛡️ 暫定回避
UseLogin機能を無効にし、PAMでの環境読み込みを制限する。
🔍 検知方法
sshdの設定ファイルでUseLoginが有効か確認し、PAMの設定を点検する。

参照URL

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →