フリーのSSH(Secure Shell)ソフト・パッケージ「OpenSSH」の最新版「OpenSSH 4.2」が米国時間9月1日付けで公開されている。最新版では2種類のセキュリティ・ホールが修正された。また,新しいデータ圧縮方式(Compression delayed)の追加やRSA/DSAのデフォルト鍵長の増加(1024ビットから2048ビット)といった変更が加えられている。
今回修正されたセキュリティ・ホールは,「GatewayPorts」および「GSSAPI」に関するもの。前者を悪用すると,攻撃者はOpenSSHサーバーのセキュリティ制限を回避できる。後者を悪用すると,攻撃者は与えられているユーザー権限を不正に昇格できる。
米Internet Security Systemsでは,前者のセキュリティ・ホールの危険度を「High Risk」に設定している。デンマークSecuniaでは,前者および後者のセキュリティ・ホールの危険度を「Less Critical(5段階中上から4番目)」としている。
最新版は,OpenBSD ProjectのFTPサイトなどから入手できる。
◎参考資料
◆OpenSSH
◆Announce: OpenSSH 4.2 released
◆OpenSSH Two Security Issues
◆OpenSSH GatewayPorts security bypass
◆OpenSSH 4.2p1
◆OpenSSH 4.2