重要な脆弱性情報 CVE番号: CVE-2016-0777 および CVE-2016-0778 件名: Qualys Security Advisory で指摘された OpenSSH クライアントの脆弱性 脆弱性情報: - この脆弱性は、Xサーバーが SECURITY 拡張機能を無効にしている場合に、信頼できないX11フォワーディングから信頼できるフォワーディングへの降下(ダウングレード)が可能になるものです。Thomas Hoger によって報告されました。 修正詳細: - https://anongit.mindrot.org/openssh.git/commit/?id=ed4ce82dbfa8a3a3c8ea6fa0db113c71e234416c で提供されている修正コード。 - 関連するバグ報告および議論へのアクセス: https://bugzilla.redhat.com/show_bug.cgi?id=1298741 および https://bugzilla.redhat.com/show_bug.cgi?id=1298741#c4 - 開発者は、openssh-7.1p2 バージョンではこの問題が完全に修正されていないと指摘しており、完全な修正は今後のバージョンで行われる予定である。 追加の脆弱性: - CVE-2016-1908 を使用すると、ユーザーは予期せず Xサーバーに対するより高い特権レベルでアクセスできるようになる可能性があります。 出典および認証情報 Message ID: 日付: 2016年1月15日 金曜日 13:32:42 -0500 (EST) 差出人: cve-assign@mitre.org 宛先: 複数のセキュリティ関連メーリングリストおよび担当者 CC: 関連するセキュリティ担当者および組織 CVE 割当チーム: MITRE CVE Numbering Authority PGP署名: メッセージの真正性を確保するために PGP 署名が提供されています。