OpenSSH 情報

2012/01/18, OpenSSHで利用しているライブラリOpenSSL のバージョン 0.9.8t/1.0.0g がリリースされました. OpenSSL Security Advisory [18 Jan 2012] によると CVE-2011-4108 に対する 0.9.8s/1.0.0f での修正が不十分だったようです. OpenSSH に影響しません.

2012/01/04, OpenSSHで利用しているライブラリOpenSSL のバージョン 0.9.8s/1.0.0f がリリースされました. OpenSSL Security Advisory [04 Jan 2012] によると6つのセキュリティの問題が修正されています. 0.9.8r以前にある(1.0.0 系にはない) Double-free in Policy Checks (CVE-2011-4109) は X.509証明書を利用している OpenSSH に影響するかもしれません. その他は影響がないと思います.

2011/09/06, OpenSSHで利用しているライブラリOpenSSL のバージョン 1.0.0e がリリースされました. OpenSSL Security Advisory [6 September 2011] によると2つのセキュリティの問題が修正されています. どちらも OpenSSH には影響しない問題です.

2011/09/06, OpenSSH 5.9/5.9p1 がリリースされました.

セキュリティに関する修正はありません. 特権分離の子プロセスの悪用を防ぐためにサンドボックスを適用できるようになったり, SHA256 ベースのHMAC が追加されました.

• OpenSSH 5.9 のリリースノート中のOpenSSH 5.9 での変更点の翻訳
• OpenSSH 移植版付属文書の翻訳

[openssh-unix-announce] Announce: OpenSSH 5.9 releasedによると, 2011/09/06時点でのリリースでは, OpenSSH 5.9p1が自身を 5.9p2 だと誤って認識してしまっていたので, 2011/09/07 にtarballが差し替えられました.

openssh-unix-dev宛のメール「Call for testing: OpenSSH-5.9」によると, OpenSSH 5.9/5.9p1のリリースの準備がされています.

機能追加やバグ修正のリリースで, 重大なセキュリティに関する修正はないようです. 特権分離の子プロセスの悪用を防ぐためにサンドボックスを適用できるようになったり, SHA256 ベースのHMAC が追加される予定です.

変更点部分を適当に翻訳しました.

OpenSSH 5.9p1 での変更点のまとめ(暫定版)

OpenSSHで利用しているライブラリOpenSSL に JVNVU#536044: OpenSSL における ECDSA 秘密鍵が漏えいしてしまう問題 が報告されています. OpenSSHのECDSAの実装はOpenSSLのものを利用しているので, OpenSSHでのECDSAの利用でも影響がある可能性が高いです. 現在のところ ECDSA を利用しない以外の対処法はありません.

2011/05/23追記: Security of OpenSSL ECDSA signaturesによると

This result concerns binary/GF(2m) fields only and not the prime fields that OpenSSH uses in recent versions.

Read more...

2011/05/03, OpenSSH 5.8p2 がリリースされました.

(/dev/random のような) ホストレベルの乱数のサポートがないプラットフォームで, ローカルなプライベートホスト鍵が漏洩する可能性があったのが修正されました.詳細はOpenSSH Security Advisory: portable-keysign-rand-helper.advで記述されています.

ほとんどの現代的なOSでは問題がないとのことです. 特に *BSD, Linux, OS X, Cygwin では攻撃対象のプログラム(ssh-rand-helper)を利用していません.

• OpenSSH 5.8p2 のリリースノート中のOpenSSH 5.8p2 での変更点の翻訳
• OpenSSH 移植版付属文書の翻訳