OpenSSH 4.0 リリース 25
ストーリー by yoosee
より安全に、より便利に 部門より
より安全に、より便利に 部門より
umq曰く、"OpenBSD journalの記事によると,OpenSSH 4.0がリリースされました。OpenSSH.comにリストアップされている各ミラーサーバから入手が可能になっています。主な変更点は,以下のとおり。
- ポートフォワーディングの接続アドレス範囲を制限できるようになった。
- ssh(1) と ssh-keyscan(1) で known_hosts ファイルにホスト名をハッシュ化して保存できるようになった。
- ssh-keygen(1) で know_hosts ファイルのキーを管理するオプションが追加された。ホスト名がハッシュ化されたエントリの削除等に使える
- sshd(8) のアカウント管理が改善されて、アカウントやパスワードの期限が近付いたら警告するようになった。
- AllowUsers, DenyUsers, AllowGrous や DenyGroups で拒否するように設定された接続は sshd(8) のログに残すようになった。
- sshd(8) に AddressFamily オプションが追加され、待ち受けアドレスを IPv4/v6 のいずれかに制限することが可能になった。
- sftp(1) クライアントを改善して、libedit を使ってコマンドのヒストリ機能や編集機能が使えるようになった。
- authorized_keys ファイルの不正なデータのエラー処理を改善した。
- ssh(1) の多重接続サポートを改善して、多重接続を制御する「コマンドモード」が追加された。
- scp(1) や sftp(1) が、自分の作った ssh 接続が終了するまで、待つようになった。
安心するなかれ (スコア:2)
OpenSSH の脆弱性を使ったシステムへの侵入に関する注意喚起 [jpcert.or.jp]
It's not who is right, it's who is left.
Re:馬鹿じゃねーの? (スコア:1, すばらしい洞察)
その程度は推測できるようにならないと、永遠に馬鹿呼ばわりされてしまいますよ。
旧バージョンの脆弱性にも注目 (スコア:2, 参考になる)
Re:旧バージョンの脆弱性にも注目 (スコア:1)
リリースノート原文 [openssh.com]へのリンクがないようなのでついでに追加。
Re:旧バージョンの脆弱性にも注目 (スコア:2, 参考になる)
但し、その記事のPortable版のMD5は間違っているらしいので注意です。
OpenSSHのメーリングリストの記事 [theaimsgroup.com]より。
Re:旧バージョンの脆弱性にも注目 (スコア:1, 参考になる)
security fixとはどこにも書かれていないようなんだが。
3.9が出たときも3.8.1に脆弱性があったとは書かれていないし。
日本語訳 [unixuser.org]
Re:旧バージョンの脆弱性にも注目 (スコア:1, 参考になる)
詳細な範囲を示していないのは、ただ煽っているだけにも見えます。
Re:旧バージョンの脆弱性にも注目 (スコア:0)
jpcertには正確な表現をして欲しいですね。
「多くの」ってのが曖昧なんだよな。
> OpenSSH の最新バージョンは 2004 年 8 月 17 日リリー
> スの 3.9 (オリジナル版) および 3.9p1
Re:旧バージョンの脆弱性にも注目 (スコア:0)
3.8 以降ではなく 3.7.1/3.7.1p2 以降。
(3.7.1/3.7.1p2 を含む)
Re:旧バージョンの脆弱性にも注目 (スコア:0)
4.0という新しいバージョンが出たって記事と、3.9以前に脆弱性があるって問題を混ぜて話しをはじめるとややこしくなるよ。どっちもニュースではあるけれど。
Re:旧バージョンの脆弱性にも注目 (スコア:0)
私もそのレポートを読んでFreeBSDのopensshは最新に上げました
# 昨日インストールしたDebianのwoodyに入っていたopensshはえらく古いのですけど
# debianって脆弱性は放置なのでしょうか?
# それとも woodyは安定放置版ってことか?
# 自分でmake installする必要があるなら安定版としてはイマイチ不安が残るなあ・・・。
Re:旧バージョンの脆弱性にも注目 (スコア:2, 参考になる)
Re:旧バージョンの脆弱性にも注目 (スコア:0)
まぁスラドや 2ch ではさんざんガイシュツですと言われておしまいだけどさ。
脆弱性じゃないけど (スコア:1, 参考になる)
がかかっています。
Mar 7 06:02:55 : Invalid user test from 200.38.194.82
Mar 8 02:53:15 : Invalid user patrick from 221.237.148.247
(以下よくある名前のログイン失敗が続く)
パスワード認証を有効にして、空のパスワードを設定している
お馬鹿さんはすらどにはいないと思うけど、一応警告。
Re:脆弱性じゃないけど (スコア:1)
まぁ、sshのポート番号をデフォルトから変えていたら当然か
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:脆弱性じゃないけど (スコア:0)
・・・と、うちのも調べたら700件/日rejectしてた。
遠い海の向こうから日々ご苦労さんでつね、と嘲笑しながら
ログを眺めています。:-P
# 生IPをさらすのはどうかと思うAC
つーか (スコア:0)
パスワードをかけておくのは当然だけど
それだとユーザーとパスワードがばれればログインできるので
認証キーでやるのが普通だし、ラッパーを通しますよ。
(大概、変な接続はラッパーで落ちるよ)
Re:脆弱性じゃないけど (スコア:0)
> がかかっています。
いかにもツールですね。
ところで、JPCERT の注意喚起がまた更新 [jpcert.or.jp]されてます。変更は
2005-03-14 既知の脆弱性を含まない OpenSSH のバージョンを明記して修正
パスワード総当たり攻撃に関する追加情報を追記
ということのようです。で、
なお、OpenSSH サーバ
バージョンアップ時によく忘れる・・・ (スコア:0)
Re:バージョンアップ時によく忘れる・・・ (スコア:1, 参考になる)
はちゃんと保存しとけ
/path/to/ssh/ssh[d]_config
は入れ替えろ
Re:バージョンアップ時によく忘れる・・・ (スコア:0)
>>はちゃんと保存しとけ
生成し直せばよいだけで、別にバックアップしなくてもよい
>>/path/to/ssh/ssh[d]_config
>>は入れ替えろ
入れ替えたほうがよいけど
中身はよく見ないとだめ<opensshに付属のsshd_configはセキュアじゃないから
Re:バージョンアップ時によく忘れる・・・ (スコア:0)
>>はちゃんと保存しとけ
> 生成し直せばよいだけで、別にバックアップしなくてもよい
生成し直したら、自働バックアップしてる方のknown_hostsに入ってる
ホストキーと一致しなくなるのでイヤーンってことでしょ?
Re:バージョンアップ時によく忘れる・・・ (スコア:0)
Re:バージョンアップ時によく忘れる・・・ (スコア:0)