[Momonga-devel.ja:02076] Re: openssh vulnerability

[Kazuhiko <kazuhiko@xxxxxxxxxx>]

かずひこです。

At Wed, 17 Sep 2003 10:25:33 +0900,
Kazuhiko wrote:

>     CERT Advisory CA-2003-24 Buffer Management Vulnerability in OpenSSH 
>     http://www.cert.org/advisories/CA-2003-24.html                  
> 
> が発表されましたので、とりいそぎ 3.7.1p1 にアップデートしました。
> 最低限の動作は確認しましたが、一部のファイルのパッケージ洩れなどの不具合
> がないとも限りませんので、今一度 spec を確認くださると幸いです。

デフォルトの sshd_config まわりを確認していたのですが、

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes

これを
PasswordAuthentication no
にするだけではパスワード認証を不許可にできませんでした。その下の方の

# Set this to 'yes' to enable PAM authentication (via challenge-response)
# and session processing. Depending on your PAM configuration, this may
# bypass the setting of 'PasswordAuthentication'
#UsePAM yes

も
UsePAM no
にする必要があります。

適当なパッチを書いて、
UsePAM no
がデフォルトになるようにしたほうがよいでしょうか？
特に反対意見がなければそのようにします。
-- 
かずひこ <http://wiki.fdiary.net/kazuhiko/>
  ★シャア「名字が付いてない」
  ☆一兵卒「あんなの飾りです。偉い人にはそれが分からんのです」