ProHoster > блог > Навіны інтэрнэту > Рэліз OpenSSH 10.3

Рэліз OpenSSH 10.3

Пасля паўгода распрацоўкі апублікаваны выпуск OpenSSH 10.3, адкрытай рэалізацыі кліента і сервера для працы па пратаколах SSH 2.0 і SFTP. Асноўныя змены:

  • Ухіленая ўразлівасць, якая дазваляе атакаваламу, кантраляваламу імя карыстача, якое перадаецца пры запуску ўтыліты ssh, патэнцыйна дамагчыся выкананні адвольных shell-каманд. Уразлівасць выяўляецца ў сістэмах, выкарыстоўвалых падстаноўку «%u» у некаторых дырэктывах файла канфігурацыі, такіх як «Match exec». Праблема выклікана праверкай спецзнакаў у імя карыстальніка на стадыі пасля выканання %-падстановак у файле канфігурацыі ssh_config.
  • Ухіленая праблема з бяспекай у sshd, выкліканая некарэктным супастаўленнем опцыі authorized_keys principals=»» са спісам імёнаў (principal) у сертыфікаце ў сітуацыі, калі ў імёнах паказаны знак «,». Для эксплуатацыі ўразлівасці неабходна, каб у опцыі authorized_keys principals=»» было паказана некалькі імёнаў і каб які сведчыць цэнтр выпісаў сертыфікат з некалькімі імёнамі, падзеленымі коскай (звычайна такое не дапушчаецца). Змененыя паводзіны ў стаўленні сертыфікатаў з пустым імем — раней пустое імя падпадала пад усе опцыі authorized_keys principals=»», а зараз не падпадае.
  • У scp ухіленая праблема, з-за якой пасля загрузкі файла з правамі root з указаннем опцыі "-O" і без опцыі "-p" не чысціліся сцягі setuid/setgid.
  • У sshd выпраўлена праблема з апрацоўкай ключоў ECDSA у дырэктывах PubkeyAcceptedAlgorithms і HostbasedAcceptedAlgorithms, з-за якой у выпадку ўказання любога алгарытму ECDSA (напрыклад, «ecdsa-sha2-nistp384») пачыналі прымацца і ўсе астатнія алгарытмы на базе ECD.
  • У ssh і sshd пры ўзаемадзеянні c SSH-агентамі дададзена падтрымка ідэнтыфікатараў (codepoint), вызначаных IANA у спецыфікацыі draft-ietf-sshm-ssh-agent. Падтрымка раней выкарыстоўваных ідэнтыфікатараў выгляду "@openssh.com" захавана.
  • У ssh-agent рэалізавана пашырэнне "query", вызначанае ў спецыфікацыі draft-ietf-sshm-ssh-agent і якое дазваляе вызначыць падтрымоўваныя агентам функцыі. Для запыту спісу падтрымліваемых пашырэнняў пратаколу праз запыт "query" ва ўтыліту ssh-add дададзена опцыя "-Q".
  • У sshd_config дазволена ўказанне некалькіх файлаў у дырэктыве RevokedKeys, а ў ssh_config - у дырэктыве RevokedHostKeys.
  • У ssh дададзена escape-каманда "~I" і опцыя "-O conninfo" для паказу інфармацыі аб бягучым злучэнні, а таксама опцыя "-O channels" для паказу інфармацыя аб адкрытых каналах.
  • У sshd у дырэктыве PerSourcePenalties рэалізавана опцыя 'invaliduser' для дадання затрымкі ў выпадку спробы ўваходу пад неіснуючым карыстачом (па змаўчанні 5-секунд). Дададзена магчымасць указання няцэлых значэнняў затрымкі.
  • У sshd дададзена опцыя GSSAPIDelegateCredentials для кіравання прыёмам дэлегаваных уліковых дадзеных, прадстаўленых кліентам.
  • У ssh-keygen дададзена падтрымка запісу ключоў ED25519 у фармаце PKCS8.
  • Дададзена падтрымка схемы лічбавых подпісаў ed25519, рэалізаваная праз libcrypto.

Крыніца: opennet.ru

Купіць надзейны хостынг для сайтаў з абаронай ад DDoS, VPS VDS серверы 🔥 Купіць надзейны хостынг для сайтаў з абаронай ад DDoS, VPS VDS серверы | ProHoster