OpenSSH 情報


[Security][OpenSSL][Release] OpenSSL 0.9.8t/1.0.0g リリース

2012年01月19日 15:59更新

2012/01/18, OpenSSHで利用しているライブラリOpenSSL のバージョン 0.9.8t/1.0.0g がリリースされました. OpenSSL Security Advisory [18 Jan 2012] によると CVE-2011-4108 に対する 0.9.8s/1.0.0f での修正が不十分だったようです. OpenSSH に影響しません.


[Security][OpenSSL][Release] OpenSSL 0.9.8s/1.0.0f リリース

2012年01月19日 15:57更新

2012/01/04, OpenSSHで利用しているライブラリOpenSSL のバージョン 0.9.8s/1.0.0f がリリースされました. OpenSSL Security Advisory [04 Jan 2012] によると6つのセキュリティの問題が修正されています. 0.9.8r以前にある(1.0.0 系にはない) Double-free in Policy Checks (CVE-2011-4109) は X.509証明書を利用している OpenSSH に影響するかもしれません. その他は影響がないと思います.


[Security][OpenSSL][Release] OpenSSL 1.0.0e リリース

2011年09月07日 08:22更新

2011/09/06, OpenSSHで利用しているライブラリOpenSSL のバージョン 1.0.0e がリリースされました. OpenSSL Security Advisory [6 September 2011] によると2つのセキュリティの問題が修正されています. どちらも OpenSSH には影響しない問題です.


[OpenSSH][Release] OpenSSH 5.9/5.9.p1 リリース

2011年09月07日 08:52更新

2011/09/06, OpenSSH 5.9/5.9p1 がリリースされました.

セキュリティに関する修正はありません. 特権分離の子プロセスの悪用を防ぐためにサンドボックスを適用できるようになったり, SHA256 ベースのHMAC が追加されました.

[openssh-unix-announce] Announce: OpenSSH 5.9 releasedによると, 2011/09/06時点でのリリースでは, OpenSSH 5.9p1が自身を 5.9p2 だと誤って認識してしまっていたので, 2011/09/07 にtarballが差し替えられました.


[OpenSSH] OpenSSH 5.9p1 リリース準備中

2011年08月14日 15:29更新

openssh-unix-dev宛のメール「Call for testing: OpenSSH-5.9」によると, OpenSSH 5.9/5.9p1のリリースの準備がされています.

機能追加やバグ修正のリリースで, 重大なセキュリティに関する修正はないようです. 特権分離の子プロセスの悪用を防ぐためにサンドボックスを適用できるようになったり, SHA256 ベースのHMAC が追加される予定です.

変更点部分を適当に翻訳しました.

OpenSSH 5.9p1 での変更点のまとめ(暫定版)


[Security][OpenSSL] OpenSSLのECDSA実装に脆弱性

2011年05月23日 22:58更新

OpenSSHで利用しているライブラリOpenSSLJVNVU#536044: OpenSSL における ECDSA 秘密鍵が漏えいしてしまう問題 が報告されています. OpenSSHのECDSAの実装はOpenSSLのものを利用しているので, OpenSSHでのECDSAの利用でも影響がある可能性が高いです. 現在のところ ECDSA を利用しない以外の対処法はありません.

2011/05/23追記: Security of OpenSSL ECDSA signaturesによると

This result concerns binary/GF(2m) fields only and not the prime fields that OpenSSH uses in recent versions.

Read more...


[Security][OpenSSH][Release] OpenSSH 5.8p2 リリース

2011年05月03日 10:21更新

2011/05/03, OpenSSH 5.8p2 がリリースされました.

(/dev/random のような) ホストレベルの乱数のサポートがないプラットフォームで, ローカルなプライベートホスト鍵が漏洩する可能性があったのが修正されました.詳細はOpenSSH Security Advisory: portable-keysign-rand-helper.advで記述されています.

ほとんどの現代的なOSでは問題がないとのことです. 特に *BSD, Linux, OS X, Cygwin では攻撃対象のプログラム(ssh-rand-helper)を利用していません.


更新