golang.org/x/crypto/ssh パッケージをアップデートしましょう【セキュリティ・アップデート】

no extension

golang.org/x/crypto/ssh パッケージをアップデートするようアナウンスが出ている。

ひとつは SSH 認証時の問題:

Version v0.0.0-20220315160706-3147a52a75dd of golang.org/x/crypto/ssh implements client authentication support for signature algorithms based on SHA-2 for use with existing RSA keys.

Previously, a client would fail to authenticate with RSA keys to servers that reject signature algorithms based on SHA-1. This includes OpenSSH 8.8 by default and—starting today March 15, 2022github.com for recently uploaded keys.

もうひとつは golang.org/x/crypto/ssh パッケージを使って SSH サービスを構成する場合の脆弱性で CVE-2022-27191 が割り当てられている。

Version v0.0.0-20220314234659-1baeb1ce4c0b (included in the version above) also fixes a potential security issue where an attacker could cause a crash in a golang.org/x/crypto/ssh server under these conditions:

  • The server has been configured by passing a Signer to ServerConfig.AddHostKey.
  • The Signer passed to AddHostKey does not also implement AlgorithmSigner.
  • The Signer passed to AddHostKey does return a key of type “ssh-rsa” from its PublicKey method.

Servers that only use Signer implementations provided by the ssh package are unaffected.

golang.org/x/crypto/ssh パッケージを使って SSH サービスを利用している方はアップデートしましょう。



アラン・ドノバン (著), ブライアン・カーニハン (著), 柴田芳樹 (著)
丸善出版 2016-06-20 (Release 2021-07-13)
B099928SJD (ASIN)

Kindle 版出た! 一部内容が古びてしまったが,この本は Go 言語の教科書と言ってもいいだろう。感想はこちら

reviewed by Spiegel on 2021-05-22 (powered by PA-APIv5)

暗号技術入門 第3版 秘密の国のアリス
結城 浩 (著)
SBクリエイティブ 2015-08-25 (Release 2015-09-17)
B015643CPE (ASIN)

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)