-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2016-21
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2016/08/25
 最終更新日   : 2016/08/25

 パッケージ名 : openssh
 
 タイトル : OpenSSH に DoS 攻撃を受ける脆弱性
 
 概要 : OpenSSH は、SSH プロトコルを使用するネットワーク接続ツールのフリーな実装です。
      Ssh はリモートマシンへログインしたり、リモートマシンでコマンドを実行したりする為の
      プログラムです。rlogin や rsh を置き換えるもので、二つの信頼できないホスト間の信頼
      できない通信路でセキュアで暗号化された通信を行うことを可能にします。
      X11 のコネクションやあらゆる TCP/IP のポートもまた、セキュアな通信路の中を通す事が
      できます。
 
      sshd の auth-passwd.c の auth_password 関数にパスワード認証時にパスワードの長さを
      制限しないため DoS 状態にされる脆弱性が存在します。
 
 影響 : 第三者が意図的に過度に長い文字列を使用して、DoS(暗号 CPU 資源の消費) 状態にされる
      可能性があります。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u openssh openssh-askpass openssh-clients openssh-server
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssh-4.7p1-12.src.rpm
      1052638 4e74deb38414c9b4e13a60da0cd715c8

   Binary Packages
   Size: MD5

   openssh-4.7p1-12.x86_64.rpm
       282713 ca0f7ee3f6cbe1401748941a767fa51f
   openssh-askpass-4.7p1-12.x86_64.rpm
        40529 bd6e3d4404b82ea3614707585c6c0343
   openssh-clients-4.7p1-12.x86_64.rpm
       308647 3ac29962e82eeda3c2081b95dc8f9f9b
   openssh-server-4.7p1-12.x86_64.rpm
       319909 b0a914d3665475cde1c4455a823a0461

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssh-4.7p1-12.src.rpm
      1052638 4e74deb38414c9b4e13a60da0cd715c8

   Binary Packages
   Size: MD5

   openssh-4.7p1-12.i686.rpm
       265245 4c25d1fb0f54a4e115c72837bbe10e3d
   openssh-askpass-4.7p1-12.i686.rpm
        38384 5c8d65abe800a599abe773344641fa34
   openssh-clients-4.7p1-12.i686.rpm
       281098 b4a7907f6d5fbf449ecbe0b2de3f7074
   openssh-server-4.7p1-12.i686.rpm
       286867 6e1c757c94d480460c52a6352353e5a7

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssh-4.7p1-12.src.rpm
      1051412 59db39300f65b34fd2818921335cf3f3

   Binary Packages
   Size: MD5

   openssh-4.7p1-12.x86_64.rpm
       282713 ca0f7ee3f6cbe1401748941a767fa51f
   openssh-askpass-4.7p1-12.x86_64.rpm
        40529 bd6e3d4404b82ea3614707585c6c0343
   openssh-clients-4.7p1-12.x86_64.rpm
       308647 3ac29962e82eeda3c2081b95dc8f9f9b
   openssh-server-4.7p1-12.x86_64.rpm
       319909 b0a914d3665475cde1c4455a823a0461

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssh-4.7p1-12.src.rpm
      1052638 4e74deb38414c9b4e13a60da0cd715c8

   Binary Packages
   Size: MD5

   openssh-4.7p1-12.i686.rpm
       265245 4c25d1fb0f54a4e115c72837bbe10e3d
   openssh-askpass-4.7p1-12.i686.rpm
        38384 5c8d65abe800a599abe773344641fa34
   openssh-clients-4.7p1-12.i686.rpm
       281098 b4a7907f6d5fbf449ecbe0b2de3f7074
   openssh-server-4.7p1-12.i686.rpm
       286867 6e1c757c94d480460c52a6352353e5a7


 関連文章 :

 CVE
   [CVE-2016-6515]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6515

 --------------------------------------------------------------------------
 更新履歴
   初版   2016/08/25
 --------------------------------------------------------------------------

 Copyright(C) 2016 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAle+w4UACgkQK0LzjOqIJMzN4QCeKP9giWtMu2gifu0sudHkUfw3
XxMAoJ3rEV4JtOfafyteA5BVDiGVOhG0
=KuRf
-----END PGP SIGNATURE-----