Last modified: Thu Jan 10 11:37:12 2008 +0900 (JST)
WinSCP 4.0.4 が公開されています。scp:// および sftp:// URI の処理にまつわる欠陥 (CVE-2007-4909) が修正されています。 WinSCP 利用者は更新してください。
OpenSSH 4.7 が公開されました: OpenSSH 4.7 has just been released (openssh.com)。セキュリティ修正 (CVE-2007-4752) が含まれているそうです。
Security bugs resolved in this release:
* Prevent ssh(1) from using a trusted X11 cookie if creation of an untrusted cookie fails; found and fixed by Jan Pechanec.
数々の改善や機能追加も行われています。たとえば以下のような機能追加・機能向上があるそうです。
* ssh(1) and sshd(8) now preserve MAC contexts between packets, which saves 2 hash calls per packet and results in 12-16% speedup for arcfour256/hmac-md5.
* A new MAC algorithm has been added, UMAC-64 (RFC4418) as "umac-64@openssh.com". UMAC-64 has been measured to be approximately 20% faster than HMAC-MD5.
また、OpenSSH 4.7 では新規インストール時のデフォルトはプロトコルバージョン 2 のみサポートするように設定されるそうです。新規インストール時にプロトコルバージョン 1 もサポートさせたい場合は、設定ファイル sshd_config を編集するなどの作業が必要になります。
* sshd(8) in new installations defaults to SSH Protocol 2 only. Existing installations are unchanged.
SSHKeychain 0.8.2 が公開されました。0.8.1 以前に存在する欠陥のうち 1 つが修正され、もう 1 つに対しても一時的に対応されています。
SSHKeychain の利用者は更新してください。
Cisco IOS における SCP 実装に欠陥が発見されたそうです。
SSH パスワード認証に対する総当たり攻撃への対抗ツールを更新しました。DenyHOSTS, sshblack, pam_abl を追加しました。
PuTTY 0.60 ごった煮版 2007年8月6日版が出ています。
7月25日版が「特定の条件でWindowsの保護違反で落ちる」問題が修正されています。その他にもマイナーな問題が複数修正されています。
PuTTY 0.60 ごった煮版 2007年7月25日版が出ています。
「未検証のコードが混入していたため削除」したそうです。
PuTTY 0.60 に対応した PuTTYjp (hdk 氏) とごった煮版 (蛭子屋双六氏) が更新されていました。「F10 キーが正しく IME に伝わっていなかった問題を修正しました」そうです。
[Full-disclosure] White Paper - Chrooting sshd という文書が公開されています。私はまだ読めていないのですが……。
Open Tech Press に SSH 関連の記事が出ていましたので紹介しておきます。
PuTTY 0.60 が登場しています。ISO-2022 patch やごった煮版も 0.60 ベースのものが公開されています。
(ひ)メモにおいて複数のゲートウェイを経由する SSH 接続を行う場合の ~/.ssh/config 設定事例が紹介されています。
「実用 SSH 第2版」では同様の事例を 11.4.4 で紹介していますが、複数のゲートウェイを経由する例ではありませんでした。同様の問題に直面している場合には参考になると思います。なお、ここで紹介されているのは OpenSSH でしか利用できない方法ですので注意してください。
WinSCP 4.0 beta が登場したそうです。以下が追加されています。
Open Tech Press に SSHへのブルートフォースアタックにpam_ablを用いて対策する という記事が掲載されていました。これも SSH パスワード認証に対する総当たり攻撃への対抗ツールの一種です。
本書では紹介できなかったのですが、Windows から SSH ポートフォワーディング経由で 139/tcp にアクセスする方法を紹介しているページがあります。
Windows では localhost の 139/tcp や 445/tcp が特殊な扱いを受けているため、そのままでは Samba などの SMB/CIFS ネットワーク共有を SSH ポートフォワーディング経由で扱うことができません。 しかし Microsoft Loopback Adaptor を使うと、139/tcp についてはポートフォワーディングできるようになります。残念ながら、445/tcp についてはこの方法でもできません。
はてなで SSH 経由の侵入事件が発生したそうです。
例によって、SSH パスワード認証に対する総当り攻撃 [*] のようです。 はてなでは SSH パスワード認証を認めないセキュリティポリシーが定められていたそうなのですが、一部のサーバがこれに違反していたのだそうです。
注意しましょう。「3.10.1 パスワードクラッキング」や「付録G SSHサーバをセキュアに運用するために」も参照してください。 と言っても、注意しても間違えるのが人間ですので、sshd_config が意図された状態になっているかどうかを検査するスクリプトを作成したり、総当り攻撃に対抗するツールを利用したりするのもよいでしょう。
[*] 実際には、広く行われているのは、総当たり攻撃ではなく辞書攻撃です。
PuTTY 0.58 (Linux 版) の puttygen に欠陥があったそうです。
Secunia は 0.58 / 0.59 に欠陥があるとしていますが、実際には 0.59 で修正されているように見えます (/putty/import.c の Revision 7084)。元ねたであるとされている Debian Bug report logs - #400804 - putty-tools: puttygen can create world-readable private keys でも 0.59 で修正されている、としています。
なお、Windows 版の PuTTY にはこの欠陥はありません。
sshd now allows the enabling and disabling of authentication methods on a per user, group, host and network basis via the Match directive in sshd_config.
認証方法を柔軟に設定できるようになったようです。
0.48 以前にはホスト鍵が一致しない場合に十分に警告を発しない欠陥 CVE-2007-1099 があり、0.49 で修正されています。
PuTTY 0.59 が出ています。また PuTTY 0.59 に対応したごった煮版も登場しています。