Die vrystelling van OpenSSH 9.6 is gepubliseer, 'n oop implementering van 'n kliënt en bediener om die SSH 2.0- en SFTP-protokolle te gebruik. Die nuwe weergawe stel drie sekuriteitskwessies reg:
- 'n Kwesbaarheid in die SSH-protokol (CVE-2023-48795, "Terrapin"-aanval), wat 'n MITM-aanval toelaat om die verbinding terug te rol om minder veilige verifikasiealgoritmes te gebruik en beskerming teen sykanaalaanvalle te deaktiveer wat insette herskep deur die vertragings te ontleed tussen toetsaanslagen op die sleutelbord. Die aanvalmetode word in 'n aparte nuusartikel beskryf.
- 'n Kwesbaarheid in die ssh-hulpprogram wat die vervanging van arbitrêre dopopdragte moontlik maak deur manipulasie van aanmeld- en gasheerwaardes wat spesiale karakters bevat. Die kwesbaarheid kan uitgebuit word as 'n aanvaller die aanmeld- en gasheernaamwaardes beheer wat na ssh-, ProxyCommand- en LocalCommand-aanwysings oorgedra word, of "match exec"-blokke wat jokertekenkarakters soos %u en %h bevat. Byvoorbeeld, verkeerde aanmelding en gasheer kan vervang word in stelsels wat submodules in Git gebruik, aangesien Git nie verbied om spesiale karakters in die gasheer- en gebruikersname te spesifiseer nie. 'n Soortgelyke kwesbaarheid verskyn ook in libssh.
- Daar was 'n fout in ssh-agent waar, wanneer PKCS#11 private sleutels bygevoeg is, beperkings slegs toegepas is op die eerste sleutel wat deur die PKCS#11-token teruggestuur is. Die probleem raak nie gewone privaat sleutels, FIDO-tokens of onbeperkte sleutels nie.
Ander veranderinge:
- Het "%j"-vervanging by ssh gevoeg, uitgebrei na die gasheernaam gespesifiseer via die ProxyJump-aanwysing.
- ssh het ondersteuning bygevoeg om ChannelTimeout aan die kliëntkant in te stel, wat gebruik kan word om onaktiewe kanale te beëindig.
- Bygevoeg ondersteuning vir die lees van ED25519 private sleutels in PEM PKCS8 formaat na ssh, sshd, ssh-add en ssh-keygen (voorheen is slegs OpenSSH-formaat ondersteun).
- 'n Protokol-uitbreiding is by ssh en sshd gevoeg om digitale handtekeningalgoritmes vir publieke sleutel-verifikasie te heronderhandel nadat die gebruikernaam ontvang is. Byvoorbeeld, deur die uitbreiding te gebruik, kan jy selektief ander algoritmes in verhouding tot gebruikers gebruik deur PubkeyAcceptedAlgorithms in die "Pas gebruiker"-blok te spesifiseer.
- Het 'n protokoluitbreiding by ssh-add en ssh-agent bygevoeg om sertifikate in te stel wanneer PKCS#11-sleutels gelaai word, wat toelaat dat sertifikate wat met PKCS#11-privaatsleutels geassosieer word, gebruik word in alle OpenSSH-nutsprogramme wat ssh-agent ondersteun, nie net ssh nie.
- Verbeterde opsporing van nie-ondersteunde of onstabiele samestellervlae soos "-fzero-call-used-regs" in clang.
- Om die voorregte van die sshd-proses te beperk, gebruik weergawes van OpenSolaris wat die getpflags()-koppelvlak ondersteun die PRIV_XPOLICY-modus in plaas van PRIV_LIMIT.
Bron: opennet.ru