Апублікаваны рэліз OpenSSH 9.3, адчыненай рэалізацыі кліента і сервера для працы па пратаколах SSH 2.0 і SFTP. У новай версіі ліквідаваны праблемы з бяспекай:
- Ва ўтыліце ssh-add выяўлена лагічная памылка, з-за якой пры даданні ў ssh-agent ключоў для смарткарт агенту не перадаваліся абмежаванні, якія задаюцца пры дапамозе опцыі «ssh-add -h». У выніку ў агент дадаваўся ключ, для якога не ўжываліся абмежаванні, якія дапускаюць падлучэнні толькі з вызначаных хастоў.
- Ва ўтыліце ssh выяўлена ўразлівасць, якая можа прывесці да чытання дадзеных з вобласці стэка па-за вылучаным буферам пры апрацоўцы адмыслова аформленых DNS-адказаў, у выпадку ўключэння ў файле канфігурацыі налады VerifyHostKeyDNS. Праблема прысутнічае ва ўбудаванай рэалізацыі функцыі getrrsetbyname(), якая прымяняецца ў пераносных версіях OpenSSH, якія збіраюцца без выкарыстання знешняй бібліятэкі ldns (—with-ldns) і на сістэмах са стандартнымі бібліятэкамі, якія не падтрымліваюць выклік getrrsetbyname(). Магчымасць эксплуатацыі ўразлівасці, акрамя як для ініцыявання адмовы ў абслугоўванні кліента ssh, ацэньваецца як малаверагодная.
Дадаткова можна адзначыць уразлівасць ва ўваходнай у склад OpenBSD бібліятэцы libskey, якая выкарыстоўваецца ў OpenSSH. Праблема прысутнічае з 1997 года і можа прывесці да перапаўнення буфера ў стэку пры апрацоўцы спецыяльна аформленых імёнаў хастоў. Адзначаецца, што нягледзячы на тое, што праява ўразлівасці можа быць ініцыяванае выдалена праз OpenSSH, на практыку ўразлівасць бескарысная, бо для яе праявы імя атакаванага хаста (/etc/hostname) павінна ўтрымоўваць больш 126 знакаў, а буфер можа быць перапоўнены толькі знакамі з нулявым кодам ('\0').
Сярод не звязаных з бяспекай змен:
- У ssh-keygen і ssh-keyscan дададзена падтрымка параметру "-Ohashalg=sha1|sha256" для выбару алгарытму адлюстравання злепкаў SSHFP.
- У sshd дададзена опцыя "-G" для разбору і адлюстраванні актыўнай канфігурацыі без спроб загрузкі зачыненых ключоў і без выканання дадатковых праверак, што дазваляе правяраць канфігурацыю на стадыі да генерацыі ключоў і запускаць праверку непрывілеяванымі карыстачамі.
- У sshd узмоцнена ізаляцыя на платформе Linux, якая выкарыстоўвае механізмы фільтрацыі сістэмных выклікаў seccomp і seccomp-bpf. У спіс дазволеных сістэмных выклікаў дададзены сцягі да mmap, madvise і futex.
Крыніца: opennet.ru