「OpenSSH 7.4/7.4p」を公開、バグ修正が中心のリリース

 OpenBSD Project内のOpenSSH開発チームは12月19日、SSH 2.0と完全な互換性を目指すフリーのSSH実装「OpenSSH 7.4/7.4p」をリリースした。バグ修正が中心のマイナーリリースとなる。

 OpenSSHはSSH 2.0プロトコルと完全な互換性があるフリーのSSH実装で、SFTPクライアント/サーバーサポートを含む。コンパイル時に有効設定されているレガシーのSSH 1.3/1.5プロトコルの移行もサポートする。

 OpenSSH 7.4/7.4pは、8月に公開したバージョン7.3に続く最新版。本バージョンではSSH v.1プロトコルのサーバーサポートが削除された。なお開発チームによると、SSH v.1プロトコルの残りのサポート(クライアント、現在コンパイル時では無効化されている)についても2017年8月頃に削除する計画だという。

 sshコマンドでは、デフォルトでは暗号化アルゴリズムの3des-cbcを利用しないよう変更が行われた。3des-cbcはSSH RFCで唯一の必須暗号であることから、デフォルト設定のまま動いている古いデバイスとの接続で支障が生じるかもしれないと警告している。開発チームは理由として、64ビットのブロック暗号は安全ではなく、SWEET32のような攻撃がSSHに拡張される危険性があると説明している。

 sshdでは認証前の圧縮のサポートが削除された。圧縮を早期に行うことは、暗号化と攻撃の表面の両方から考えて良いものとは言えない、と理由を説明している。また、証明書および認証された鍵/プリンシパルのcommand=制約の両方でforce-commandが指定されている場合、完全に一致しない場合はsshdは証明書の受け入れを拒否するようになった。UseLogin設定項目も削除され、ログインセッションの管理サポートも無くなった。

 ssh-agentについては、デフォルトで信頼されたパスのホワイトリスト以外のPKCS#11モジュールの読み込みが不可能になった。

 このほかにも多数のバグが修正されている。また、2017年8月にSSH v.1プロトコルが完全にサポート対象外となるタイミングに合わせ、BlowfishとRC4暗号化、それにRIPE-MD160 HMAC(ともに現在、ランライムで無効化されている)のサポートを削除する計画も明らかにしている。1024ビット以下のRSA鍵も非対応になる。次期バージョンではまた、特権分離が無効化されたsshdの動作がサポートされなくなるほか、ポータブルOpenSSHで1.0.1以前のOpenSSLのバージョンのサポートも廃止となる。

OpenSSH
http://www.openssh.com/