PowerProtect DPA、IDPA: IDPA 2.7.7、2.7.8でのOpenSSHの脆弱性CVE-2025-26465、CVE-2025-26466
概要: この記事では、PowerProtect Data Protectionシリーズ アプライアンスまたはIntegrated Data Protection Appliance (IDPA)に対するCVE-2025-26465およびCVE-2025-26466への対応について概説します。この記事は、IDPAバージョン2.7.7および2.7.8を対象としています。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
セキュリティ スキャナーは、IDPAのコンポーネントについて、OpenSSHで次の共通脆弱性識別子(CVE)を報告します。
| CVE ID | 説明 |
| CVE-2025-26465 | ssh(1) OpenSSH バージョン 6.8p1 から 9.9p1 (両端を含む) には、オンパス攻撃者 (別名 machine-in-the-middle 任意のサーバーを偽装するには、 VerifyHostKeyDNS オプションが有効になっています。このオプションはデフォルトでオフになっています。 |
| CVE-2025-26466 | sshd(8) OpenSSH バージョン 9.5p1 から 9.9p1 (両端を含む) は、メモリまたは CPU に対して脆弱です denial-of-service の取扱いに関すること SSH2_MSG_PING パケット。この状態は、既存の PerSourcePenalties をインストールします。 |
原因
CVE-2025-26465(外部リンク)では、OpenSSHに脆弱性が発見されました。 VerifyHostKeyDNS オプションは、バージョン 6.8P1 からバージョン 9.9P1 まで (両端を含む) で有効になります。このオプションはデフォルトでオフになっています。
- SuSEの記事「CVE-2025-26465」(外部リンク)を参照してください。SuSE Enterprise Linux 12 SP5が影響を受け、解決策はOpenSSHバージョン7.2p2-81.26.1または8.4p1-8.16.1以降にあります。
CVE-2025-26466(外部リンク)では、バージョン9.5p1と9.9p1の間のOpenSSHサーバーに脆弱性が見つかりました。
OpenSSH パッケージに欠陥が見つかりました。SSH サーバが受信する ping パケットごとに、pong パケットがメモリ バッファに割り当てられ、パケットのキューに格納されます。これは、サーバーとクライアントのキー交換が完了したときにのみ解放されます。悪意のあるクライアントはこのようなパッケージを送信し続ける可能性があり、サーバー側のメモリ消費量が制御不能に増加する可能性があります。サーバーが使用できなくなり、サービス拒否攻撃を受ける可能性があります。
- SuSEの記事 CVE-2025-26466 (外部リンク)を参照してください。SuSE Enterprise Linux 12 SP5は影響を受けません。
解決方法
注:この記事では、IDPAバージョン2.7.7または2.7.8のこれら2つのCVEについて説明します。以前のバージョンのIDPAの場合は、IDPAソフトウェア2.7.8にアップグレードすることをお勧めします。
CVE-2025-26465
CVEは、 VerifyHostKeyDNS オプションが有効になっています。デフォルトは、IDPAのすべてのコンポーネントで無効になっています。オプションが有効になっているかどうかを確認する手順については、この記事の「追加情報」セクションを参照してください
Appliance Configuration Manager (ACM):
- IDPAバージョン2.7.7または2.7.8の場合、
VerifyHostKeyDNSオプションは無効のままにしておく必要があります(システムのデフォルトは無効です)。 - 恒久的な修正は、IDPAバージョン2.7.9以降です。
保護ソフトウェア(Avamar):
- Avamar Platform Security Rollup 2025-R1を適用します。Dellセキュリティ アドバイザ リーDSA-2025-213:「Dell Avamar、Dell NetWorker Virtual Edition(NVE)、Dell PowerProtect DPシリーズ アプライアンス、およびDell Integrated Data Protection Appliance(IDPA)の複数のサード パーティーの脆弱性のセキュリティ アップデート を参照してください
Avamarプロキシ:
- Avamarプロキシ バンドル2025-R1を適用します。
- Dellセキュリティ アドバイザ リーDSA-2025-213:「Dell Avamar、Dell NetWorker Virtual Edition(NVE)、Dell PowerProtect DPシリーズ アプライアンス、およびDell Integrated Data Protection Appliance(IDPA)の複数のサード パーティーの脆弱性のセキュリティ アップデート を参照してください
保護ストレージ(Data Domain):
- DD OS 7.10の誤検出セキュリティ脆弱性については、Dellの記事「Dell PowerProtect Data Domain DD OS 7.10の誤検出セキュリティ脆弱性」を参照してください。(この記事を表示するには、Dellサポートへのログインが必要になる場合があります)。
レポート作成と分析(DPAアプリとデータストア):
- IDPAバージョン2.7.7または2.7.8の場合、
VerifyHostKeyDNSオプションは無効のままにしておく必要があります(システムのデフォルトは無効です)。 - 恒久的な修正は、IDPAバージョン2.7.9以降です。
検索:
- 検索はサポート終了に達しました。脆弱性が特定された場合は、ACMダッシュボードから検索を削除することをお勧めします。声明の全文は、「既知の問題」セクションにあるIDPAバージョン IDPA 2.7.7 または IDPA 2.7.8 リリース ノートを参照してください。
Data Protection Central (DPC):
- DPC OSアップデート「dpc-osupdate-1.1.22-1.jar」以降を適用します。パッチ バンドルの修正については、『 Dell Data Protection Central OS Update Release Notes 』(このドキュメントを表示するには、Dellサポートへのログインが必要な場合があります)を参照してください。
ハイパーバイザー マネージャー(vCenter):
- Broadcomは、記事「OpenSSH vulnerability CVE-2025-26465 in vCenter Server」(外部リンク)を公開しました。 Dellエンジニアリング チームは、恒久修正が利用可能になったときに含める方法を検討します。
- IDPAバージョン2.7.7または2.7.8の場合、
VerifyHostKeyDNSオプションは無効のままにしておく必要があります(システムのデフォルトは無効です)。
ハイパーバイザー(ESXi):
- Broadcomは、ESXiにおけるOpenSSHの脆弱性CVE-2025-26465およびCVE-2025-26466の記事を公開しました(外部リンク)。 CVE-2025-26465に関して、ESXi上のOpenSSHバイナリーをアップデートする当面の予定はありません。
- CVE-2025-26465はクライアント側の脆弱性であり、ESXiのバージョンとは直接関係ありません。
- IDPAバージョン2.7.7または2.7.8の場合、
VerifyHostKeyDNSオプションは無効のままにしておく必要があります(システムのデフォルトは無効です)。
PowerEdge iDRAC:
- iDRACにOpenSSHクライアントはありません。影響を受けません。
IDPAトップオブラック スイッチ:
CVE-2025-26466
バージョン 9.5p1 と 9.9p1 の間の OpenSSH サーバに脆弱性が見つかりました。
Appliance Configuration Manager (ACM):
- 影響を受けない
保護ソフトウェア(Avamar):
- 影響を受けない
保護ストレージ(Data Domain):
- 影響を受けない
レポート作成と分析(DPAアプリとデータストア):
- 影響を受けない
検索:
- 影響を受けない
Data Protection Central (DPC):
- 影響を受けない
ハイパーバイザー マネージャー(vCenter):
- 影響を受けない
ハイパーバイザー(ESXi):
- 影響を受けていません。ESXi SSHサーバーのバージョンは影響を受けるバージョンではありません。
- Broadcomは、ESXiにおけるOpenSSHの脆弱性CVE-2025-26465およびCVE-2025-26466に関する記事を公開しました(外部リンク)。 CVE-2025-26466に関して、ESXi上のOpenSSHバイナリーをアップデートする当面の予定はありません。
- ESXiのデーモンは、メモリー消費量を制限するためにサンドボックス化されています。
PowerEdge iDRAC:
- 恒久的な修正は、IDPAバージョン2.7.9以降です。
IDPAトップオブラック スイッチ:
その他の情報
確認および無効にする方法 VerifyHostKeyDNS の SSH Linuxベースの仮想マシンのclientオプション。
かどうかを確認します VerifyHostKeyDNS オプションは、グローバル構成ファイルまたはユーザーごとの構成ファイルのいずれかで有効になっています。
システムのグローバル構成ファイルは次の場所にあります。 /etc/ssh/ssh_configファイルに置き換えます。
grep -i VerifyHostKeyDNS /etc/ssh/ssh_config
出力結果に VerifyHostKeyDNS Yes
ユーザーごとの構成ファイルは ~/ にあります。ssh/configファイルに置き換えます。
grep -i VerifyHostKeyDNS ~/.ssh/config
出力結果に VerifyHostKeyDNS Yes
無効にするには、構成ファイルを編集し、 VerifyHostKeyDNS Yes オプションなしで使用した場合)。(デフォルトでは、SuSE、ESXi、vCenterでは無効になっています
詳細については、Dellの記事「 PowerProtect DPシリーズ アプライアンスとIDPA: IDPAバージョン2.7.7および2.7.8のセキュリティ強化の一般的なベスト プラクティス』を参照してください。(この記事を表示するには、Dellサポートへのログインが必要になる場合があります)。
対象製品
PowerProtect Data Protection Appliance, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software文書のプロパティ
文書番号: 000327400
文書の種類: Solution
最終更新: 30 1月 2026
バージョン: 2
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。