「OpenSSH 10.0」公開、DSA署名廃止 - 認証分離でセキュリティ強化も

「OpenSSH」の開発チームは現地時間2025年4月9日、最新版となる「OpenSSH 10.0」をリリースした。セキュリティに関する修正や機能追加、非推奨とされていた署名アルゴリズムの廃止などを行った。

今回のアップデートでは、非推奨とされていたDSA署名アルゴリズムのサポートを廃止。サーバ側における「Finite Field Diffie-Hellman方式」による鍵交換をデフォルトで無効化した。

サーバのバイナリ「sshd」より認証フェーズを、専用バイナリである「sshd-auth」に分離。メモリにおいて認証前後の処理が異なるアドレス空間で実行するように変更してリスクを低減するとともに、認証処理後に認証コードをメモリより削除できるようにした。

またX11転送およびエージェント転送を無効化する「DisableForwarding」の設定が正しく動作していない問題を解消。

さらに量子コンピュータによる攻撃にも耐性があり、NISTにより標準化されているポスト量子暗号アルゴリズム「mlkem768x25519-sha256」をクライアントの鍵交換におけるデフォルトとして採用している。

（Security NEXT - 2025/04/22 ） ツイート

PR

関連記事

「Chrome 137」の早期安定版がリリース - 8件のセキュリティ修正
「Spring Security」の一部メソッド制御に認可バイパスの脆弱性
GitLabに10件の脆弱性 - アップデートを呼びかけ
「OpenPGP.js」の署名検証に脆弱性 - 修正パッチをリリース
「a-blog cms」に「SSRF」など複数脆弱性 - アップデートで修正
PostgreSQL向けミドルウェア「Pgpool-II」に認証回避の脆弱性
「vCenter Server」「ESXi」などVMware製品に複数脆弱性
I-O DATAのNAS製品「HDL-T」シリーズに深刻な脆弱性
SAMLライブラリ「samlify」に「クリティカル」脆弱性
米政府、脆弱性6件の悪用に注意喚起 - メールや社内チャットなども標的に