OpenELECのrootのsshパスワードがハードコード - JVN

Japan Vulnerability Notes

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は2月3日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#99850969 - OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題」において、OpenELECとRasPlexの脆弱性について伝えた。

この脆弱性はOpenELECにハードコードされたroot権限のパスワードが使われているというもの。OpenELECでは、デフォルトでrootによるSSHアクセスが有効になっているため、ハードコードされたパスワードを使用することでroot権限で機器へのアクセスが許可されてしまうことになる。RasPlexはOpenELECをベースにしたプロダクトであるため、同様の脆弱性を抱えている。

この問題を抜本的に修正する方法は現時点では公開されていない。危険性を軽減する措置としてSSH接続におけるパスワード認証を無効にすること、SSH接続で鍵認証を有効にして利用すること、ファイアウォールなどを使用して信頼できるホストやネットワークのみがプロダクトにアクセスできるように設定すること、などが挙げられている。

<お知らせ>
ITソリューション検討Information

マイナビニュースのIT Search+では、ITソリューションの検討に役立つ情報を掲載しています。
ここでは、IT Search+の人気記事ベスト3をご紹介。ぜひ、ビジネスにお役立てください。



人気記事

一覧

イチオシ記事

新着記事