フリーのSSH(Secure Shell)ソフト・パッケージ「OpenSSH」の最新版「OpenSSH 4.2」が米国時間9月1日付けで公開されている。最新版では2種類のセキュリティ・ホールが修正された。また,新しいデータ圧縮方式(Compression delayed)の追加やRSA/DSAのデフォルト鍵長の増加(1024ビットから2048ビット)といった変更が加えられている。

 今回修正されたセキュリティ・ホールは,「GatewayPorts」および「GSSAPI」に関するもの。前者を悪用すると,攻撃者はOpenSSHサーバーのセキュリティ制限を回避できる。後者を悪用すると,攻撃者は与えられているユーザー権限を不正に昇格できる。

 米Internet Security Systemsでは,前者のセキュリティ・ホールの危険度を「High Risk」に設定している。デンマークSecuniaでは,前者および後者のセキュリティ・ホールの危険度を「Less Critical(5段階中上から4番目)」としている。

 最新版は,OpenBSD ProjectのFTPサイトなどから入手できる。

◎参考資料
OpenSSH
Announce: OpenSSH 4.2 released
OpenSSH Two Security Issues
OpenSSH GatewayPorts security bypass
OpenSSH 4.2p1
OpenSSH 4.2