Translated message

A translation of this page exists in English.

RHEL 7.4 での ssh サーバーの SSH-1 プロトコルの削除

更新 -

SSH-1 プロトコルは 1996 年に導入 (1995 年に実装) され、2 年後の 1998 年に重大な攻撃が発見されました1。その後、プロトコルを不安定にさせる脆弱性が発見されたため、アップストリームでは 2010 年 (OpenSSH 5.4 リリースノート2を参照)、そして RHEL では、RHEL 5 がリリースされ、Fedora 3 からの変更が継承された 2007 年にデフォルトで無効になりました。このプロトコルは、同じ時期に導入され、はるか前に廃止になった SSL 2.0 プロトコルと比較できます。

仕様が 2006 年に公開になった (ただし、OpenSSH への実装は 2001 年に遡ります) SSH-2 プロトコルを代わりに使用してください。これは 15 年以上利用できるため、可能な場合はこれを使用してください。

SSH-1 コードは、2016 年にアップストリームの OpenSSH プロジェクトから削除され (OpenSSH 7.4 リリースノートを参照)、保持されなくなりました。 これにより、互換性がある層では、複雑で潜在的な攻撃対象領域が発生していました。お使いのインフラストラクチャーがこのプロトコルに依存している場合は、すぐに SSH-2 にアップデートすることを検討してください。

よくある質問 (FAQ)

これは SSH クライアントには影響しますか?

影響しません。クライアントにおける SSH-1 サポートは継続されているため、今でも RHEL7.4 クライアントで古い SSH-1 サーバーに接続することができます。デフォルトのクライアント設定をわずかに変更して SSH-1 プロトコルのネゴシエーションを許可する必要があります。可能であれば、特定のレガシーホストに対する SSH 設定だけを変更します (RHEL 7 の以前のマイナーバージョンで必要です)。

    Host legacy.example.com
        Protocol 2,1

RHEL サーバーに SSH-1 プロトコルを使用してデータを送信するレガシーのクライアントがあります。このクライアントは今でも接続することができますか?

RHEL 7.4 から openssh パッケージをインストールすると、サーバーは、SSH-1 プロトコルを使用してネゴシエートすることができなくなります。クライアントを SSH-2 プロトコルにアップデートすることを検討してください。

不安定なネットワークで SSH-1 プロトコルを使用する方法は推奨されておらず、ネットワークが安全な場合は、トランスポートに使用できる方法は他にあります (FTP、TFTP、stunnel など)。

回避策はありますか?

移行時に、RHEL 7.3 OpenSSH パッケージを使用します。この (英語版の) 記事が作成された時点で、7.3.z で最新の openssh バージョンは openssh-6.6.1p1-35.el7_3 です。

RHBA-2017:0915 - openssh bug fix update