「OpenSSH 8.0/8.0p」リリース、scpプロトコルに関連した脆弱性を修正
SSH 2.0のフリー実装である「OpenSSH」開発プロジェクトは4月18日、最新版となる「OpenSSH 8.0/8.0p」のリリースを発表した。
OpenSSHはOpenBSDプロジェクトが開発しているフリーのSSH 2.0プロトコル実装。トラフィック全体を暗号処理することで傍受やコネクションハイジャックなどの攻撃を防ぐことができるとしている。
OpenSSH 8.0/8.0pは、2015年8月に公開されたOpenSSH 7.0/7.0pに続く最新版となる。セキュリティ修正として、scpコマンドやプロトコルにおける脆弱性(CVE-2019-6111)についての緩和を行なった。遠隔にあるシステムからローカルのディレクトリにファイルを複製する際に、scpがファイル名の一致を確認していないというもので、悪用されると攻撃者の制御下にあるコンテンツを持つ予期しないローカルファイルを作成するなどのことにつながる恐れがあった。本バージョンではクライアントサイドのファイル名確認処理を行うことでこの問題が緩和されている。なお開発チームはscpプロトコルは時代遅れで柔軟性がなく、修正が容易ではないとし、sftpやrsyncなどを使ってファイル転送することを奨励している。
新機能として、sshおよびssh-agent、ssh-addコマンドで、PKCS#11トークンでECDSA鍵のサポートが加わった。ssh-keygenコマンドでは、デフォルトのRSA鍵のサイズが3072ビットに拡張された。
また、ssh-agentおよびssh-pkcs11-helper、ssh-addコマンドで「-v」コマンドラインオプションがサポートされた。出力の冗長性を増したいときに利用できるとしている。
このほかにも多数の機能が加わった。一方で、sshdではhost/portシンタックスのサポートが削除されている。
OpenSSH 8.0/8.0pはプロジェクトのWebサイトより入手できる。
OpenSSH
http://www.openssh.com/