雪中行軍, 23:00過ぎ帰宅.(XдX)
最近こんなことでもないと書かないのですが... ssh1 の穴です. ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:24.ssh.asc も出ています.
より詳しくは
前者は,話はかなり昔に遡るのですが(ssh-1.2.25の頃?過去日記掘り出せれ ば絶対書いてあるんだけどな), 送信されるデータブロックの整合性チェックを CRC という(一方向性の)弱い 関数に頼っていたため,データブロックの差し変えが比較的簡単に できてしまう,ということが判明したということがありました. 抜本的にはプロトコル改訂 が必要ということは認識されていたのですが,そのときとりあえず そのCRC の偽造アタックを検出するぐらいはなんとかできる, ということでパッチがでました.以来 ssh1 にはそのパッチがはさまっていた と思いますが,実はそのパッチ関連でバッファオーバーフローが起こせる, とのことです.
後者は,この前ふれた PKCS#1 に対する Bleichenbacher のアタック( CA-1998-07 参照,内容は上のリンク2.に詳しく--という程ではなかった-- 書いてあります.詳細は Crypto98 をみなさいと書いてありました. )が, セッションキー(これは秘密鍵)を送るためのサーバキーによる RSA (デフォルトは1時間1回生成の 768 bit でしたっけ)にも適用されるというものです. PKCS#1 フォーマットに合わないものをもらったときに「うぐぅ」とか 声を出してしまうせいで,Decryption Oracle として使えてしまう...らしい.
いずれも本質的に SSH-1 プロトコルの弱点が(間接/直接)原因になっています. (SSH-1 への後方互換性はもうあきらめたほうが良いとのことです. テラタームはSSH-2大丈夫だっけ)
関連というか SSH-2 については http://www.openssh.org/参照
http://www.st.rim.or.jp/~donogo/2001/02/14.html