OpenBSDプロジェクトは3月15日(現地時間)、オープンソースのSSHサーバおよびクライアントソフトウェア「OpenSSH」の最新版となる「OpenSSH 9.3」および「OpenSSH 9.3p1」をリリースした。このリリースにはいくつかの新機能のほかに複数のセキュリティバグの修正が含まれている。ただし、バグの影響は限定的とされている。

  • OpenSSH 9.3/9.3p1 Release Notes

    OpenSSH 9.3/9.3p1 Release Notes

OpenSSHは、SSHプロトコルを利用してリモートサーバに接続したり、ホスト間でファイルを転送したりすることができるソフトウェア。サーバ側とクライアント側の両方のプログラムを含んでおり、BSDライセンスに基づいてオープンソースで開発されている。

OpenSSH 9.3では、次に挙げるセキュリティおよびメモリ安全性に関連する問題の修正が含まれているという。ただし、メモリ安全性の問題は攻撃には悪用できない可能性が高いと報告されている。

  • ssh-add(1):OpenSSH 8.9で追加されたhop単位での送信先制約に関して、ssh-agent(1)にスマートカードのキーを追加する際に論理エラーによって制約がエージェントに伝達されない問題
  • ssh(1) :特別に細工されたDNSレスポンスによって、getrrsetbyname(3)関数が隣接するスタックデータの境界外読み取りを発生させる問題

OpenSSH 9.3で追加された新機能としては、以下が挙げられている。

  • ssh-keygen(1), ssh-keyscan(1):SSHFPフィンガープリントの出力時にsha1かsha256を指定できるようにする -Ohashalg オプションの追加
  • sshd(8):秘密鍵のロードやその他のチェックを試行せずに有効な設定をパースして出力する sshd -G オプションの追加。

OpenSSH 9.3では上記の他にも多くのバグが修正されている。OpenSSHプロジェクトは、修正内容を確認した上で可能な限り最新バージョンにアップデートすることを推奨している。