OpenSSH 10.4, 보안과 기능 모두 강화

by DD
2일 전
조회수 2

OpenSSH 10.4 버전이 출시되어 보안 취약점 수정새로운 기능을 포함함

SECCOMP 및 NO_NEW_PRIVS 실패 시 치명적 오류로 처리하여 보안 강화

SFTP 서버 취약점명령줄 인수 처리 오류 등 다수 보안 문제 해결

ML-DSA 44 및 Ed25519 결합 서명 방식 등 신규 알고리즘 지원 추가

보안 강화: SECCOMP 및 NO_NEW_PRIVS 실패 처리

OpenSSH 10.4에서는 SECCOMP 및 NO_NEW_PRIVS 기능 실패 시 연결을 즉시 종료하도록 변경되었습니다. 이전 버전에서는 오류를 기록하고 계속 진행했지만, 이제는 시스템이 이러한 보안 샌드박스 기능을 지원하지 않으면 구성 시점에 비활성화해야 합니다. 이는 취약점 공격 표면(Attack Surface)을 최소화하려는 의도로 분석됩니다.

SFTP 서버 취약점 및 명령줄 인수 처리 개선

이번 릴리스는 Swival Security Scanner가 발견한 SFTP 서버 관련 취약점을 해결했습니다. 악의적인 서버가 파일을 예상치 못한 위치에 다운로드하거나 상위 디렉토리에 쓰기를 시도하는 문제를 차단합니다. 또한, 긴 명령줄 인수(Long Command Lines)의 안전한 처리를 위해 이전 버전의 묵시적 절단(Silent Truncation) 문제를 수정하여 보안 관련 옵션이 누락되지 않도록 개선했습니다.

신규 암호화 알고리즘 지원: ML-DSA 44 및 Ed25519

OpenSSH 10.4는 ML-DSA 44와 Ed25519를 결합한 새로운 서명 방식을 지원합니다. 이는 draft-miller-sshm-mldsa44-ed25519-composite-sigs 사양을 따르며, 기본적으로 활성화되지는 않습니다. 사용자는 `HostKeyAlgorithms` 등에 해당 알고리즘을 명시적으로 추가해야 하며, `ssh-keygen -t mldsa44-ed25519` 명령어로 키 생성이 가능합니다. 이는 양자 컴퓨팅(Quantum Computing) 위협에 대비하려는 움직임으로 해석될 수 있습니다.

NFA 기반 정규 표현식 엔진 도입

기존의 지수적 최악 사례(Exponential Worst-Case Behavior)를 보이던 정규 표현식 구현 대신, NFA(Non-deterministic Finite Automaton) 기반의 새로운 엔진이 도입되었습니다. 이는 특히 복잡한 패턴 매칭 시 성능 저하 문제를 해결하고 예측 가능한 동작을 보장하는 데 기여할 것으로 기대됩니다. 커뮤니티에서는 이러한 내부 구조 개선이 전반적인 안정성 향상에 긍정적인 영향을 미칠 것으로 보고 있습니다.

OpenSSH 10.4