OpenSSH開発チームは1月15日、SSHプロトコル2.0に対応したオープンソースのSSH実装「OpenSSH」の最新版7.1p2をリリースしました(アナウンス、リリースノート、Reddit)。
OpenSSH 7.1p2では主に、OpenSSHクライアントコードの5.4から7.1で試験的に実装された、SSH-connectionsのリジューム機能(roaming)に関するセキュリティ修正が行われています。このコードはサーバーコードには含まれていませんが、クライアント側ではデフォルトで有効化されており、悪意のあるサーバーによってクライアントの秘密鍵が漏洩してしまう危険性があるとのこと。
OpenSSH 7.1p2の導入が推奨されていますが、移行措置としてssh_configや~/.ssh/configに「UseRoaming no」を追加することや、コマンドラインオプションで「-oUseRoaming=no」を指定する対策が存在するようです。
