OpenBSDプロジェクトは2023年12月18日(カナダ時間)、「OpenSSH 9.6 released!」において、OpenSSH 9.6/9.6p1をリリースしたと発表した。このリリースにはセキュリティ対策といくつかの新機能およびバグの修正が含まれている。
OpenSSH 9.6/9.6p1の主な変更点
OpenSSH 9.5からの主な変更点は次のとおり。
- 「Terrapin攻撃」と呼ばれる中間者攻撃(MITM: Man-in-the-middle attack)を妨害するプロトコル拡張を実装。鍵交換中に不要なメッセージや予測されないメッセージを受け取った場合は接続の終了を要求する
- ssh-agent(1)における制限されたPKCS#11鍵に関連するロジックエラーの修正
- コマンドラインから渡されるユーザーおよびホスト名について、ほとんどのメタ文字を禁止する。shellのメタ文字を含む不正なユーザー名やホスト名を指定できる攻撃者は潜在的にssh_config(5)の設定項目を悪用してコマンドインジェクションを実行できる。gitリポジトリのURLでこのような攻撃が可能。しかしながら、この対抗策がすべての場合に効果があるかは保証されない
- ChannelTimeoutをクライアントに追加
- PEM PKCS8形式のED25519秘密鍵の読み取りをサポート
- キーストロークのタイミングを不明瞭化する処理を、TTYが有効なチャンネルのみ有効にする
「Terrapin攻撃」への対策のポイント
今回のリリースには、「Terrapin攻撃」への対策が含まれている。この攻撃の影響は限定的であり、ユーザー認証の妨害やキーストロークの不明瞭化を無効にする可能性がある。セッションの秘匿性やセッションの完全性に影響はない。このため、緊急の対応は求められていないが、必要に応じてアップデートすることが望まれている。