OpenSSHプロジェクトがバージョン10.3およびそのポータブル版10.3p1をリリースし、世界中のシステム管理者が直ちに優先的に対応すべき重大なセキュリティパッチを提供しています。
2026年3月下旬の短期テスト段階の後、このメジャーアップデートは複数の高い影響を持つ脆弱性に対応しており、最も緊急なものはSSHクライアントの危険なシェルインジェクションの欠陥です。
このリリースの中核は、OpenSSHのSSHクライアントで発見されたシェルインジェクション脆弱性のパッチです。
攻撃者は、コマンドラインで渡された悪意のあるユーザー名を作成して、%uなどの特定のトークンを使用する設定ファイルの場合、任意のシェルコマンドを実行することができました。
OpenSSH 10.3はシェル文字に対してより厳密な検証ルールを強制することでこれを解決し、この攻撃ベクトルを効果的に閉じます。
しかし、開発者はセキュリティ衛生の問題として、信頼できない入力に対して直接SSHコマンドラインを公開することに対して強く勧告し続けています。
ヘッドラインの修正の他に、OpenSSH 10.3は他の3つの注目すべきセキュリティ問題に対応しています:
OpenSSH 10.3は、接続管理を強化し、サーバを自動化された攻撃から強化するために設計された運用上の改善も含まれています:
このリリースはまた、いくつかの互換性を破壊する変更を導入しています。OpenSSH 10.3は、暗号化の再キーイングサポートがない古いソフトウェア実装に対する公式なサポートを廃止しています。
注目すべきことに、証明書内の空のprincipalsフィールドはもはやワイルドカードとして機能せず、厳密に何もマッチしません。
OpenSSHを実行している組織は、新たに開示されたこれらの脆弱性への露出を軽減するために、サーバとクライアントの両方をバージョン10.3にためらうことなくアップグレードするよう強く促されています。
翻訳元: https://cyberpress.org/openssh-10-3-fixes/