「OpenSSH 10.0」公開、DSA署名廃止 - 認証分離でセキュリティ強化も

「OpenSSH」の開発チームは現地時間2025年4月9日、最新版となる「OpenSSH 10.0」をリリースした。セキュリティに関する修正や機能追加、非推奨とされていた署名アルゴリズムの廃止などを行った。

今回のアップデートでは、非推奨とされていたDSA署名アルゴリズムのサポートを廃止。サーバ側における「Finite Field Diffie-Hellman方式」による鍵交換をデフォルトで無効化した。

サーバのバイナリ「sshd」より認証フェーズを、専用バイナリである「sshd-auth」に分離。メモリにおいて認証前後の処理が異なるアドレス空間で実行するように変更してリスクを低減するとともに、認証処理後に認証コードをメモリより削除できるようにした。

またX11転送およびエージェント転送を無効化する「DisableForwarding」の設定が正しく動作していない問題を解消。

さらに量子コンピュータによる攻撃にも耐性があり、NISTにより標準化されているポスト量子暗号アルゴリズム「mlkem768x25519-sha256」をクライアントの鍵交換におけるデフォルトとして採用している。

（Security NEXT - 2025/04/22 ） ツイート

PR

関連記事

一部「SonicOS」のSSL VPNに脆弱性 - DoS攻撃のおそれ
「Chrome」にアップデート - セキュリティ関連の修正4件
「BentoML」に深刻な脆弱性 ─ ファイルアップロード処理に起因
SAML認証ライブラリ「Node-SAML」に再度深刻な脆弱性
「VMware vCenter」にDoS脆弱性 - アップデートをリリース
海外拠点を直接支援するセキュサービスを拡充 - KDDIとラック
「PowerDNS Recursor」にDNSキャッシュポイズニングの脆弱性
「Cisco ISE」「PaperCut NG/MF」の脆弱性狙う攻撃に注意
「Cisco ISE」の複数脆弱性を狙う攻撃が発生 - 早急に対処を
Bitnamiの一部「Helm Chart」に脆弱性 - 機密情報漏洩のおそれ