openssh-5.3p1-104.AXS4

以下項目について対処しました。

[Security Fix]
- OpenSSH の sshd には，sshd_config の AcceptEnv 行のワイルドカードを適切にサポートしておらず，リモートの攻撃者が, 意図した環境変数の制限を迂回する脆弱性があります。 (CVE-2014-2532)

- OpenSSH の client の sshconnect.c の verify_host_key 関数には，許容できない HostCertificate の存在によって，リモートのサーバが SSHFP DNS RR チェックをスキップするきっかけとなる脆弱性があります。(CVE-2014-2653)

[Bug Fix]
- SP800-131A 情報セキュリティ標準に基づいて，1024 ビットのキーサイズの DSA と2048 ビットのキーサイズの RSA を用いた電子署名の生成が 2013年以降許可されないようになりました。そのため ssh-keygen が FIPS モードで 2048 ビットより少ないキーを生成しないようになりました。
ただし互換性のため， sshd サービスは 1024 ビットのキーを受け入れます。

- openssh は誤ってその子プロセスのすべてに oom_adj 値を -17 に設定していました。この子プロセスの値が 0 に設定されるはずであるため，この挙動が誤っている問題を修正しました。

- sshd サービスが fipscheck ライブラリを用いての，インストールされた FIPS モジュールのチェックサムの検証に失敗すると，この失敗についての情報が sshd の標準エラー出力にのみ出力されていました。そのため，システムが FIPS モードで適切に設定されていない場合，ユーザがこのメッセージに気づくことができない問題を修正しました。

- "ssh-add -e" コマンドを用いて pkcs11 ライブラリによって提供されているキーが ssh エージェントによって削除されると，ユーザに PIN を入力するように求められる問題を修正しました。

[Enhancement]
- ControlPersist が OpenSSH に追加され，ControlMaster 設定ディレクティブとともにこのオプションが最初のコネクションがクローズされた後で，マスターのコネクションがバックグラウンドで開いたままであるように指定します。

- sshd デーモンが内部 SFTP セッションを強制するように設定され，ユーザが SFTP セッション以外のコネクションの使用を試みると，適切なメッセージが /var/log/secure ファイルにログ出力されます。

- RFC 5656 で指定された鍵交換 (ECDH) とホストユーザキー (ECDSA) のための楕円曲線暗号モードが openssh パッケージに追加されました。
デフォルトでは使用できないため，使用するには手動での設定が必要です。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/