RHEL 7.4 での ssh サーバーの SSH-1 プロトコルの削除
SSH-1 プロトコルは 1996 年に導入 (1995 年に実装) され、2 年後の 1998 年に重大な攻撃が発見されました1。その後、プロトコルを不安定にさせる脆弱性が発見されたため、アップストリームでは 2010 年 (OpenSSH 5.4 リリースノート2を参照)、そして RHEL では、RHEL 5 がリリースされ、Fedora 3 からの変更が継承された 2007 年にデフォルトで無効になりました。このプロトコルは、同じ時期に導入され、はるか前に廃止になった SSL 2.0 プロトコルと比較できます。
仕様が 2006 年に公開になった (ただし、OpenSSH への実装は 2001 年に遡ります) SSH-2 プロトコルを代わりに使用してください。これは 15 年以上利用できるため、可能な場合はこれを使用してください。
SSH-1 コードは、2016 年にアップストリームの OpenSSH プロジェクトから削除され (OpenSSH 7.4 リリースノートを参照)、保持されなくなりました。 これにより、互換性がある層では、複雑で潜在的な攻撃対象領域が発生していました。お使いのインフラストラクチャーがこのプロトコルに依存している場合は、すぐに SSH-2 にアップデートすることを検討してください。
よくある質問 (FAQ)
これは SSH クライアントには影響しますか?
影響しません。クライアントにおける SSH-1 サポートは継続されているため、今でも RHEL7.4 クライアントで古い SSH-1 サーバーに接続することができます。デフォルトのクライアント設定をわずかに変更して SSH-1 プロトコルのネゴシエーションを許可する必要があります。可能であれば、特定のレガシーホストに対する SSH 設定だけを変更します (RHEL 7 の以前のマイナーバージョンで必要です)。
Host legacy.example.com
Protocol 2,1
RHEL サーバーに SSH-1 プロトコルを使用してデータを送信するレガシーのクライアントがあります。このクライアントは今でも接続することができますか?
RHEL 7.4 から openssh パッケージをインストールすると、サーバーは、SSH-1 プロトコルを使用してネゴシエートすることができなくなります。クライアントを SSH-2 プロトコルにアップデートすることを検討してください。
不安定なネットワークで SSH-1 プロトコルを使用する方法は推奨されておらず、ネットワークが安全な場合は、トランスポートに使用できる方法は他にあります (FTP、TFTP、stunnel など)。
回避策はありますか?
移行時に、RHEL 7.3 OpenSSH パッケージを使用します。この (英語版の) 記事が作成された時点で、7.3.z で最新の openssh バージョンは openssh-6.6.1p1-35.el7_3 です。
Comments