-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2016-20
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2016/08/15
 最終更新日   : 2016/08/15

 パッケージ名 : openssh
 
 タイトル : OpenSSH に複数の脆弱性
 
 概要 : OpenSSH は、SSH プロトコルを使用するネットワーク接続ツールのフリーな実装です。
 
      OpenSSH に複数の脆弱性が存在します。
 
 影響 : OpenSSH の sshd の session.c の do_setup_env 関数の不備で、権限を取得される
      脆弱性が存在します。
      UseLogin 機能が有効になっている場合、或いは PAM がユーザのホームディレクトリ内に
      .pam_environment ファイルを読み込む設定がされていると、権限を取得される可能性が
      あります。(CVE-2015-8325)。
 
      存在しないユーザでログインしようとすると、auth.c の fakepw 関数にハードコード
      された偽のパスワードのハッシュ値に対して認証します。
      存在するユーザでは、パスワードのハッシュ値は通常 SHA256 或いは SHA512 ですが、
      存在しないユーザの場合では、ハードコードされているハッシュ値は Blowfish となり
      存在するユーザと比べるとハッシュ値の計算が早く終了します。
      このハッシュ値の計算が早く終了する事を利用し、第三者にユーザが存在しているかを
      確認される可能性があります(CVE-2016-6210)。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u openssh openssh-askpass openssh-clients openssh-server
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssh-4.7p1-11.src.rpm
      1051657 01b290a7faef6fdce5f439245be58275

   Binary Packages
   Size: MD5

   openssh-4.7p1-11.x86_64.rpm
       282578 cc61268971517dffbf215d82f29bc8ad
   openssh-askpass-4.7p1-11.x86_64.rpm
        40481 2861931811996b859b3d4a6c5a529f40
   openssh-clients-4.7p1-11.x86_64.rpm
       308450 4f5c4792672739f0df9ac95bb1d1d67a
   openssh-server-4.7p1-11.x86_64.rpm
       319854 da7b46b32c4e7953eac3ec3fc6a9710b

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssh-4.7p1-11.src.rpm
      1051657 01b290a7faef6fdce5f439245be58275

   Binary Packages
   Size: MD5

   openssh-4.7p1-11.i686.rpm
       264874 b3d13d2aedecea2d1c6ce9793cd8b3f1
   openssh-askpass-4.7p1-11.i686.rpm
        38311 2c0a5f27ea9d47f309f0d4e1d23aca48
   openssh-clients-4.7p1-11.i686.rpm
       280762 bbb73a3378298eb3381185a53181820c
   openssh-server-4.7p1-11.i686.rpm
       286823 6a6c358a21ec29ab32f9364af7001065

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssh-4.7p1-11.src.rpm
      1050901 cf78bd8f57475bd3bb3f2c781d478bc1

   Binary Packages
   Size: MD5

   openssh-4.7p1-11.x86_64.rpm
       282578 cc61268971517dffbf215d82f29bc8ad
   openssh-askpass-4.7p1-11.x86_64.rpm
        40481 2861931811996b859b3d4a6c5a529f40
   openssh-clients-4.7p1-11.x86_64.rpm
       308450 4f5c4792672739f0df9ac95bb1d1d67a
   openssh-server-4.7p1-11.x86_64.rpm
       319854 da7b46b32c4e7953eac3ec3fc6a9710b

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssh-4.7p1-11.src.rpm
      1051657 01b290a7faef6fdce5f439245be58275

   Binary Packages
   Size: MD5

   openssh-4.7p1-11.i686.rpm
       264874 b3d13d2aedecea2d1c6ce9793cd8b3f1
   openssh-askpass-4.7p1-11.i686.rpm
        38311 2c0a5f27ea9d47f309f0d4e1d23aca48
   openssh-clients-4.7p1-11.i686.rpm
       280762 bbb73a3378298eb3381185a53181820c
   openssh-server-4.7p1-11.i686.rpm
       286823 6a6c358a21ec29ab32f9364af7001065


 関連文章 :

 CVE
   [CVE-2015-8325]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8325
   [CVE-2016-6210]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6210

 --------------------------------------------------------------------------
 更新履歴
   初版   2016/08/15
 --------------------------------------------------------------------------

 Copyright(C) 2016 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlexLTkACgkQK0LzjOqIJMyjcgCglreFqC6X2P3Ex9N/wxS+9RVq
iHQAoLpuHNZijH8Hm8oEl+/6nfsI2K8Y
=Rg2D
-----END PGP SIGNATURE-----