OpenSSHプロジェクトはポータブル版10.3p1とともにバージョン10.3をリリースしました。3月下旬の短いテスト期間後、このメジャーアップデートは複数の重要なセキュリティ脆弱性に対処しています。
最も重大な修正は危険なシェルインジェクション欠陥を防ぎ、これは世界中のシステム管理者にとって不可欠なアップデートです。
OpenSSHはSSHプロトコル2.0の主要な実装として、安全な暗号化通信を提供しています。
このリリースの主な焦点は、SSHクライアントで発見されたシェルインジェクション脆弱性です。
以前は、設定ファイルで「%u」などの特定のトークンが使用されていた場合、コマンドラインで渡された悪意のあるユーザー名は任意のシェルコマンドを実行できました。
OpenSSH 10.3はシェル文字に対してより厳しい検証ルールを追加することでこれを修正します。しかし、開発者は依然としてSSHコマンドラインを信頼されていない入力に直接さらさないことを強く勧めています。
- 証明書認証バグ: カンマ区切りの名前を含む証明書が
authorized_keysファイルの特定の制限をバイパスできるサーバー(sshd)の欠陥を修正しました。 - レガシーSCP権限: rootとしてファイルをダウンロードするときに危険な
setuid/setgid権限ビットをクリアできなかったレガシーscpの長年の問題に対処しました。 - ECDSAキーの強制: ECDSAキーを特定のアルゴリズムに制限すると、誤って他のECDSAアルゴリズムが受け入れられる可能性がある問題を解決しました。
主な機能と改善点
セキュリティパッチを超えて、OpenSSH 10.3は管理者が接続を管理し、悪用を防ぐためのいくつかの有用な機能を導入します:
- 接続インサイト: 新しいコマンド(
~Iやssh -Oconninfoなど)により、ユーザーはアクティブなSSH接続とオープンチャネルに関する詳細情報をすばやく確認できます。 - より強いアンチスパムペナルティ: サーバーには「invaliduser」ペナルティが含まれるようになり、偽のユーザー名でログインしようとする自動ボットと攻撃者を自動的に遅くします。
- 複数の失効ファイル: 管理者は
RevokedHostKeysおよびRevokedKeys設定に複数のファイルをリストアップして、侵害されたキーをより適切に管理できるようになりました。 - 標準化されたエージェント転送: SSHエージェント転送の公式IANA割り当て名のサポートを追加し、全体的な互換性を向上させました。
- サブ秒ペナルティ:
PerSourcePenalties機能は小数時間をサポートするようになり、1秒未満続く防御ブロックを可能にしました。
管理者は、古いネットワークセットアップを破壊する可能性があるいくつかの変更に注意する必要があります。OpenSSH 10.3は、暗号化キーの再生成をサポートしない古い安全でないソフトウェア実装との互換性を正式に廃止しました。
さらに、ProxyJump コマンドラインオプションはホスト名とユーザー名を厳密に検証して、さらなるシェルインジェクションリスクをブロックするようになりました。
最後に、証明書内の空の「principals」セクションはもはやワイルドカードとして機能しません。現在は厳密に何にも一致しません。
組織は、新たに開示されたこれらの脆弱性からインフラストラクチャを保護するために、サーバーとクライアントをOpenSSH 10.3にすぐにアップグレードすることをお勧めします。
翻訳元: https://gbhackers.com/openssh-10-3-released-with-patch-for-shell-injection/
