ProHoster > ブログ > インターネットニュース > OpenSSH 10.1 リリース

OpenSSH 10.1 リリース

OpenSSH 10.1 のリリースが公開されました。これは、SSH 2.0 および SFTP プロトコルを使用して動作するクライアントとサーバーのオープン実装です。

主な変更点:

  • 「ProxyCommand」設定で指定されたコマンド(「%u」置換を含む)を実行する際に、ユーザー名またはURI内の特殊文字を操作することで、攻撃者がシェルコマンド置換を実行できる可能性があるセキュリティ問題が解決されました。この問題は、ssh実行時に信頼できないソースから取得したユーザー名またはURIの置換を許可するシステムにのみ影響します。

    このような攻撃を阻止するため、コマンドラインで指定するユーザー名、または設定に%シーケンスで代入するユーザー名では制御文字の使用が禁止されています。また、ssh:// URIではヌル文字("\0")の使用も禁止されています。設定ファイルで指定されたユーザー名については例外が適用されます(設定ファイルのデータが信頼できると仮定)。

  • ssh および ssh-agent ユーティリティは、PKCS#11 トークンに保存された ed25519 キーをサポートするようになりました。
  • ssh_config 設定ファイルに RefuseConnection 設定が追加されました。アクティブセクションで処理されると、接続を確立せずにエラーメッセージを表示してプロセスを終了します。Match host foo RefuseConnection "host foo is no longer in use, connect to host bar."
  • セッションとアクティブ チャネル情報をログに記録するために、SIGINFO シグナル ハンドラーが ssh および sshd に追加されました。
  • 証明書を使用したユーザー認証が拒否された場合、sshd はログイン ブロックの理由だけでなく、問題のある証明書を識別するための包括的な情報も記録します。
  • sshd には、X11DisplayOffset ディレクティブで指定されたオフセットを基準とした X11 ディスプレイ番号のチェックが追加されました。
  • ユニット テスト スイートにはパフォーマンス測定機能が含まれるようになりました。この機能は、OpenBSD では「make UNITTEST_BENCHMARK=yes」、他のシステムでは「make unit-bench」を実行することで有効になります。

下位互換性を損なう可能性のある変更:

  • ssh に、量子コンピュータへのブルートフォース攻撃に耐えられない鍵共有アルゴリズムが接続確立時に使用される場合の警告が追加されました。この警告は、以前に保存されたトラフィックダンプを利用した将来の攻撃のリスクを考慮して追加されました。この警告を無効にするには、ssh_config に WarnWeakCrypto オプションを追加しました。Match host unsafe.example.com WarnWeakCrypto no
  • ssh および sshd における DSCP (Directional Message Code) Quality of Service (IPQoS) パラメータの処理が大幅に変更されました。対話型トラフィックは、ワイヤレスネットワークでより優先的に処理できるよう、デフォルトで EF (Expedited Forwarding) クラスに設定されるようになりました。非対話型トラフィックは、オペレーティングシステムのデフォルトクラスに設定されるようになりました。トラフィッククラスは、ssh_config および sshd_config の IPQoS 設定を使用して変更できます。IPQoS ディレクティブの IPv4 ToS (サービスタイプ) パラメータは非推奨となりました (ToS は DSCP に置き換えられました)。
  • ssh-add に証明書を追加する際、証明書の有効期間が証明書の有効期限より 5 分長い値に設定されるようになりました(期限切れの証明書を自動的に削除するため)。この動作を無効にするには、ssh-add に「-N」オプションを追加しました。
  • 実験的なものとしてマークされ、デフォルトでは有効になっていなかった XMSS キーのサポートを削除しました。
  • ssh-agent および sshd プロセスによって作成された Unix ソケットは /tmp から ~/.ssh/agent に移動され、ファイル システム アクセスが制限されているが /tmp へのオープン アクセスを持つ分離されたプロセスはこれらのソケットにアクセスできなくなります。

今後のリリースでは、SHA1ハッシュ関数のセキュリティ問題により、SHA1 SSHFP DNSレコードは廃止されます。これらのレコードは無視され、「ssh-keygen -r」コマンドはSHA256 SSHFPレコードのみを生成します。

出所: オープンネット.ru

DDoS 保護機能を備えた信頼性の高いサイト用ホスティング、VPS VDS サーバーを購入する 🔥 DDoS攻撃対策付きの信頼性の高いウェブサイトホスティング、VPS/VDSサーバーを購入しましょう | ProHoster