Last modified: Thu Nov 20 19:13:59 2008 +0900 (JST)
OpenSSH を含む SSH 実装において、成功する確率はたいへん低いものの SSH 暗号化通信におけるデータが一部漏えいする可能性が指摘されています。詳細については、 CPNI-957037: SSH 通信において一部データが漏えいする可能性を参照してください。
Monkeysphere Project というものがあるそうです。OpenSSH の公開鍵認証 (ホスト鍵、ユーザ鍵) を OpenPGP で行おう、というものです。
OpenSSH 5.1/5.1p1 が公開されています。 代表的と思われる内容を以下に示します。
HP-UX (および同様の挙動をする OS) において X11UseLocalhost=no と設定していた場合に X11 で中間介入攻撃を招く問題を回避。 最近の BSD 系 OS、Linux、Mac OS X、Solaris にはこの問題はない。
SSH フィンガープリントを ASCII 文字で可視化する機能を試験的にサポート。 (デフォルト無効)
sshd_config の Match address や ~/.ssh/authorized_keys の from="..." で CIDR 記法をサポート。例:
Match address 192.0.2.0/24,3ffe:ffff::/32,!10.*
PasswordAuthentication yes
sshd で -T オプション (拡張テストモード) をサポート。 有効な設定内容を表示して終了する。加えて、Match ルールのテストにも利用できる。
Match group で否定記法をサポート。例: Match group staff,!guests
詳細についてはリリースノートを参照してください。リリースノートを日本語で読みたい方は、春山さんによる邦訳版をどうぞ。
WinSCP 4.1.5 が公開されています。Recent Version History (winscp.net)
SSH への総当たり攻撃が増加しています: Brute-force SSH Attacks on the Rise (SANS ISC, 2008.05.12)。手元のとあるサーバでも、92 IP アドレスからの分散型総当たり攻撃を受けています。
DenyHosts などの対抗ツールを使用することで、ある程度対抗できます。利用を推奨します。
OpenSSH 5.0/5.0p1 が公開されています。X11 フォワーディングをハイジャックされる恐れのある欠陥 CVE-2008-1483 が修正されています。 リリースノート
WinSCP 4.0.7 が公開されています。複数の不具合が修正されています。
SSH Tectia 5.x に欠陥が発見されています。ssh-signer に権限上昇を許す欠陥があり、local user が root 権限を奪取できます。SSH Tectia 4.x にはこの欠陥はありません。
SSH Tectia 5.2.4 / 5.3.6 で修正されています。また、ssh-signer コマンドを削除することで回避できます。ただし、これを実行するとホストベースの認証ができなくなります。
WinSCP 4.0.6 が公開されています。複数の不具合が修正されています。