-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2016-10
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2016/03/23
 最終更新日   : 2016/03/23

 パッケージ名 : openssh
 
 タイトル : OpenSSH にコマンドインジェクションの脆弱性
 
 概要 : OpenSSH は、SSH プロトコルを使用するネットワーク接続ツールのフリーな実装です。
 
      OpenSSH の X11 フォワーディング機能の不備で、サーバへアクセスが可能な第三者が
      xauth コマンドインジェクションに不適切な入力が行われると、任意の情報の取得や、
      データが改ざんされる等の脆弱性が存在します。       
 
 影響 : 第三者がこの脆弱性を利用し、リモートから任意の情報を取得されたり、データが
      改ざんされる可能性があります。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)
    - Turbolinux Appliance Server 2.0 (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u openssh openssh-askpass openssh-clients openssh-server
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssh-4.7p1-10.src.rpm
      1049963 e90053c30528ae87840e43a639fc46f1

   Binary Packages
   Size: MD5

   openssh-4.7p1-10.x86_64.rpm
       282481 bf89f826a36b158e301b6de88a432572
   openssh-askpass-4.7p1-10.x86_64.rpm
        40422 e4afd287c295be48ef2675c88c9b8e42
   openssh-clients-4.7p1-10.x86_64.rpm
       308568 9d465a05a3e8a85f2674224bd8a694b8
   openssh-server-4.7p1-10.x86_64.rpm
       318218 4bd0ebfff6c76ae7cf4fbb88ad1e6e0a

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssh-4.7p1-10.src.rpm
      1049963 e90053c30528ae87840e43a639fc46f1

   Binary Packages
   Size: MD5

   openssh-4.7p1-10.i686.rpm
       265299 bd62486c847c55ff2eacc458e46da8a9
   openssh-askpass-4.7p1-10.i686.rpm
        38099 9e5655910ed5a6415efc005aa6947892
   openssh-clients-4.7p1-10.i686.rpm
       280926 d4587b8ff4a5139eb8b569faf133c299
   openssh-server-4.7p1-10.i686.rpm
       286432 5cd06f18daccf4ce0ba9debc6c523ca3

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssh-4.7p1-10.src.rpm
      1048217 ed8885133abd83e33f290cc819705bdd

   Binary Packages
   Size: MD5

   openssh-4.7p1-10.x86_64.rpm
       282481 bf89f826a36b158e301b6de88a432572
   openssh-askpass-4.7p1-10.x86_64.rpm
        40422 e4afd287c295be48ef2675c88c9b8e42
   openssh-clients-4.7p1-10.x86_64.rpm
       308568 9d465a05a3e8a85f2674224bd8a694b8
   openssh-server-4.7p1-10.x86_64.rpm
       318218 4bd0ebfff6c76ae7cf4fbb88ad1e6e0a

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssh-4.7p1-10.src.rpm
      1049963 e90053c30528ae87840e43a639fc46f1

   Binary Packages
   Size: MD5

   openssh-4.7p1-10.i686.rpm
       265299 bd62486c847c55ff2eacc458e46da8a9
   openssh-askpass-4.7p1-10.i686.rpm
        38099 9e5655910ed5a6415efc005aa6947892
   openssh-clients-4.7p1-10.i686.rpm
       280926 d4587b8ff4a5139eb8b569faf133c299
   openssh-server-4.7p1-10.i686.rpm
       286432 5cd06f18daccf4ce0ba9debc6c523ca3

 <Turbolinux Appliance Server 2.0>

   Source Packages
   Size: MD5

   openssh-3.9p1-15.src.rpm
       936491 4a07c4f14256a8b6e81a76c9b5838859

   Binary Packages
   Size: MD5

   openssh-3.9p1-15.i586.rpm
       195040 0e9217775afba3f092260008fa29552e
   openssh-askpass-3.9p1-15.i586.rpm
        37197 6947c14552d9167290444417fc051e64
   openssh-clients-3.9p1-15.i586.rpm
       216947 27fedc6ffc8e60c1c7be72820a21d849
   openssh-server-3.9p1-15.i586.rpm
       219249 de23499dcae0a8d6dc3d26824b23f80d


 関連文章 :

 CVE
   [CVE-2016-3115]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3115

 --------------------------------------------------------------------------
 更新履歴
   初版   2016/03/23
 --------------------------------------------------------------------------

 Copyright(C) 2016 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlbyLo8ACgkQK0LzjOqIJMxrkACeMXLXzI7Kr7xzRvGfTM15pkr5
inMAoLQdGjo/lAGceSTRGmztWadN4QHj
=mdfE
-----END PGP SIGNATURE-----