OpenBSDプロジェクトは4月17日(米国時間)、「OpenSSH 8.0 was released on 2019-04-17」において、OpenSSHの最新版となる「OpenSSH 8.0」の公開を伝えた。

OpenSSHはSSHプロトコル2.0およびsftpクライアント/サーバの実装系。OpenSSHを開発しているOpenBSDコミュニティのみならず、サーバにログインして作業する方法として世界中の開発者やユーザーによって使われている欠かすことのできないソフトウェア。

  • OpenSSH 8.0 was released on 2019-04-17

    OpenSSH 8.0 was released on 2019-04-17

今回のバージョンにはscp(1)ツールおよびプロトコルの弱点(CVE-2019-6111)を緩和する機能が含まれている。scp(1)でリモートシステムからローカルディレクトリに対してファイルコピーを実施する際、これまでの実装はサーバから送られてくるファイルのファイル名がクライアントが要求したものと一致するかどうかのチェックを実施していなかった。この穴を悪用されると、細工されたサーバによって予期せぬローカルファイルが作成されたり上書きされる危険性がある。

今回のバージョンにはサーバが送信してくるファイル名がクライアントが要求したファイル名と一致するかどうかをチェックする機能が追加されている。しかし、OpenBSDプロジェクトはアナウンスの中で、scpプロトコルはすでに古く柔軟性を欠いており、直ぐに修正することができないため、scpではなくよりモダンなプロトコルであるsftpやrsyncを利用することを推奨している。