OpenSSH 10.3がリリースされ、重大なシェル注入脆弱性を含む複数のセキュリティ上の問題が修正されました

月内に

OpenSSH 10.3がリリースされ、重大なシェル注入脆弱性を含む複数のセキュリティ上の問題が修正されました

脆弱性🌐 英語ソース

🖥️ 製品OpenSSH

📅 2026-04-07📰 freebuf

📌 一言でいうと

OpenSSH 10.3がリリースされ、重大なシェル注入脆弱性を含む複数のセキュリティ上の問題が修正されました。この脆弱性は、特定のトークンを使用する設定ファイルにおいて、悪意のあるユーザー名を通じて任意のコマンドを実行される可能性があります。また、証明書認証のバイパスやSCPの権限管理に関する問題も修正されています。管理者は速やかに最新バージョンへのアップデートが推奨されます。

🏢影響範囲

OpenSSHを利用しているすべてのサーバーおよびクライアント環境

✅該当時の対応

OpenSSHをバージョン10.3または10.3p1にアップデートしてください。また、SSHコマンドラインに信頼できない入力を直接渡さない運用を徹底してください。

📧 メール案を見る (管理者向け)

⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。

件名: 【共有】OpenSSH 10.3 リリースに伴う脆弱性対応について

お疲れさまです。OpenSSHの最新バージョンリリースに関する情報共有です。

■ 概要
OpenSSH 10.3にて、設定ファイルの特定トークン（%u等）を悪用したシェル注入（Shell Injection）の脆弱性が修正されました。また、証明書認証の制限回避や、SCPにおけるsetuid/setgid権限の不適切な保持などの問題も解消されています。

■ 影響範囲
- OpenSSH 10.3未満のバージョン

■ 対応手順
1. サーバーおよびクライアントのOpenSSHバージョンを確認する
2. OpenSSH 10.3 または 10.3p1 へアップデートを適用する
3. 設定ファイルにおいて、信頼できない入力をコマンドラインに直接渡していないかレビューする

■ 参考情報
- OpenSSH 公式リリースノート

対応優先度: 高
対応期限: 速やかに

Subject: [Security Advisory] OpenSSH 10.3 Update for Shell Injection and Other Vulnerabilities

Hi team,

This is a notification regarding the release of OpenSSH 10.3.

■ Overview
OpenSSH 10.3 addresses a critical shell injection vulnerability where malicious usernames passed via the command line could execute arbitrary commands when specific tokens (e.g., "%u") are used in configuration files. It also fixes certificate authentication bypasses and legacy SCP permission issues.

■ Scope
- OpenSSH versions prior to 10.3

■ Mitigation Steps
1. Verify the current OpenSSH version on all servers and clients.
2. Upgrade to OpenSSH 10.3 or 10.3p1.
3. Review configurations to ensure untrusted input is not passed directly to the SSH command line.

■ Reference
- OpenSSH Official Release Notes

Priority: High
Deadline: Immediate

🔗 元の記事を読む