「OpenSSH 10.0」公開、DSA署名廃止 - 認証分離でセキュリティ強化も

「OpenSSH」の開発チームは現地時間2025年4月9日、最新版となる「OpenSSH 10.0」をリリースした。セキュリティに関する修正や機能追加、非推奨とされていた署名アルゴリズムの廃止などを行った。

今回のアップデートでは、非推奨とされていたDSA署名アルゴリズムのサポートを廃止。サーバ側における「Finite Field Diffie-Hellman方式」による鍵交換をデフォルトで無効化した。

サーバのバイナリ「sshd」より認証フェーズを、専用バイナリである「sshd-auth」に分離。メモリにおいて認証前後の処理が異なるアドレス空間で実行するように変更してリスクを低減するとともに、認証処理後に認証コードをメモリより削除できるようにした。

またX11転送およびエージェント転送を無効化する「DisableForwarding」の設定が正しく動作していない問題を解消。

さらに量子コンピュータによる攻撃にも耐性があり、NISTにより標準化されているポスト量子暗号アルゴリズム「mlkem768x25519-sha256」をクライアントの鍵交換におけるデフォルトとして採用している。

（Security NEXT - 2025/04/22 ） ツイート

PR

関連記事

「Raspberry Pi」向け無線LAN管理ツールに脆弱性 - 修正版が公開
「vLLM」に深刻なRCE脆弱性 - 動画を扱う環境に影響
「SandboxJS」にあらたなサンドボックス回避脆弱性 - 再度修正を実施
LAN側からtelnet有効化できるマニュアル未記載機能 - NETGEAR製EOLルータ
「Apache Hadoop HDFS」に脆弱性 - アップデートが公開
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を