OpenSSH 9.3p2 がリリースされました

2023/07/19, OpenSSH 9.3p2 がリリースされました.



Changes since OpenSSH 9.3

OpenSSH 9.3 からの変更点

This release fixes a security bug.




Fix CVE-2023-38408 - a condition where specific libaries loaded via
ssh-agent(1)'s PKCS#11 support could be abused to achieve remote
code execution via a forwarded agent socket if the following
conditions are met:

CVE-2023-38408 - ssh-agent(1) の PKCS#11 サポートによって
ロードされる特定のライブラリが, 次の場合に, 転送された

* Exploitation requires the presence of specific libraries on
  the victim system.
* Remote exploitation requires that the agent was forwarded
  to an attacker-controlled system.

* 悪用には被害を受けるシステム上に特定のライブラリが必要
* リモートでの悪用には, 攻撃者が管理するシステムへのエージェントの

Exploitation can also be prevented by starting ssh-agent(1) with an
empty PKCS#11/FIDO allowlist (ssh-agent -P '') or by configuring
an allowlist that contains only specific provider libraries.

悪用は, ssh-agent(1) を 空の PKCS#11/FIDO 許可リスト (ssh-agent -P '')
で起動したり, 特定のプロバイダのライブラリのみを含む許可リストを設定

This vulnerability was discovered and demonstrated to be exploitable
by the Qualys Security Advisory team. 

この脆弱性は Qualys Security Advisory team によって発見され,
In addition to removing the main precondition for exploitation,
this release removes the ability for remote ssh-agent(1) clients
to load PKCS#11 modules by default (see below).

悪用の主要な事前条件を除くのに加えて, このリリースは
リモートの ssh-agent(1) のクライアントが PKCS#11リモートモジュールを
ロードする機能をデフォルトで無効にする (次を参照).

Potentially-incompatible changes


 * ssh-agent(8): the agent will now refuse requests to load PKCS#11
   modules issued by remote clients by default. A flag has been added
   to restore the previous behaviour "-Oallow-remote-pkcs11".

   ssh-agent(8): エージェントはデフォルトでリモートのクライアントから
   発行された PKCS#11 モジュールのロードの要求を拒否する.
   以前の動作を回復するための "-Oallow-remote-pkcs11" フラグが

   Note that ssh-agent(8) depends on the SSH client to identify
   requests that are remote. The OpenSSH >=8.9 ssh(1) client does
   this, but forwarding access to an agent socket using other tools
   may circumvent this restriction.

   ssh-agent(8) はリモートからの要求を識別するのに SSH クライアントに
   依存していることに注意. OpenSSH >= 8.9 の ssh(1) クライアントは
   これを行なうが, 他のツールを用いたエージェントソケットへの転送アクセス