Пасля шасці месяцаў распрацоўкі прадстаўлены рэліз OpenSSH 8.9, адчыненай рэалізацыі кліента і сервера для працы па пратаколах SSH 2.0 і SFTP. У новай версіі ў sshd ухіленая ўразлівасць, патэнцыйна якая дазваляе атрымаць доступ без аўтэнтыфікацыі. Праблема выклікана цэлалікім перапаўненнем у кодзе аўтэнтыфікацыі, але эксплуатацыя магчымая толькі ў спалучэнні з іншымі лагічнымі памылкамі ў кодзе.
У бягучым выглядзе ўразлівасць не эксплуатуецца пры ўключэнні рэжыму падзелу прывілеяў, бо яе праява блакуюць асобныя праверкі, выкананыя ў кодзе адсочвання падзелу прывілеяў. Рэжым падзелу прывілеяў актываваны па змаўчанні ў 2002 годзе, пачынаючы OpenSSH 3.2.2, і з'яўляецца абавязковым пачынаючы з выпуску OpenSSH 7.5, апублікаванага ў 2017 годзе. Акрамя таго, у пераносных версіях OpenSSH пачынаючы з выпуску 6.5 (2014 год) уразлівасць блакуецца кампіляцыяй з уключэннем сцягоў абароны ад цэлалікіх перапаўненняў.
Іншыя змены:
- У пераноснай версіі OpenSSH у sshd выдаленая ўбудаваная падтрымка хэшавання пароляў з выкарыстаннем алгарытму MD5 (для вяртання дапушчаецца звязванне з вонкавымі бібліятэкамі, такімі як libxcrypt).
- У ssh, sshd, ssh-add і ssh-agent рэалізаваная падсістэма для абмежавання перасылання і выкарыстанні ключоў, дададзеных у ssh-agent. Падсістэма дазваляе задаваць правілы, якія вызначаюць як і дзе можна выкарыстоўваць ключы ў ssh-agent. Напрыклад, для дадання ключа, які можа быць скарыстаны толькі для правядзення аўтэнтыфікацыі пры падлучэнні любога карыстача да хаста scylla.example.org, карыстача perseus да хаста cetus.example.org і карыстача medea да хаста charybdis.example.org з перанакіраваннем праз прамежкавы хост scylla.example.org, можна выкарыстоўваць наступную каманду: $ ssh-add -h «[электронная пошта абаронена]» \-h «scylla.example.org» \-h «scylla.example.org>[электронная пошта абаронена]» \ ~/.ssh/id_ed25519
- У ssh і sshd у спіс KexAlgorithms, вызначальны парадак выбару метадаў абмену ключамі, па змаўчанні дададзены гібрыдны алгарытм.[электронная пошта абаронена]»(ECDH/x25519 + NTRU Prime), устойлівы да падбору на квантавых кампутарах. У версіі OpenSSH 8.9 дадзены метад узгаднення дададзены паміж метадамі ECDH і DH, але ў наступным выпуску яго плануюць задзейнічаць па змаўчанні.
- У ssh-keygen, ssh і ssh-agent палепшана апрацоўка ключоў FIDO-токенаў, выкарыстоўваных для верыфікацыі прылады, уключаючы ключы для біяметрычнай аўтэнтыфікацыі.
- У ssh-keygen дададзена каманда "ssh-keygen -Y match-principals" для праверкі імён карыстальнікаў у файле са спісам дазволеных імёнаў.
- У ssh-add і ssh-agent прадстаўлена магчымасць дадання ў ssh-agent FIDO-ключоў, абароненых PIN-кодам (запыт PIN выводзіцца ў момант аўтэнтыфікацыі).
- У ssh-keygen дазволены выбар алгарытму хэшавання (sha512 ці sha256) падчас фармавання подпісу.
- У ssh і sshd для падвышэння прадукцыйнасці забяспечана чытанне сеткавых дадзеных напроста ў буфер уваходных пакетаў, абыходзячы прамежкавую буферызацыю ў стэку. Аналагічна рэалізавана прамое памяшканне атрыманых даных у канальны буфер.
- У ssh у дырэктыве PubkeyAuthentication пашыраны спіс падтрымоўваных параметраў (yes|no|unbound|host-bound) для падавання магчымасці выбару варыянту выкарыстоўванага пашырэння пратаколу.
У адным з наступных выпускаў плануецца перавесці па змаўчанні ўтыліту scp на выкарыстанне SFTP замест састарэлага пратакола SCP/RCP. У SFTP ужываюцца больш прадказальныя метады апрацоўкі імёнаў і не выкарыстоўваецца апрацоўка glob-шаблонаў у імёнах файлаў праз shell на боку іншага хаста, якая стварае праблемы з бяспекай. У прыватнасці, пры ўжыванні SCP і RCP сервер прымае рашэнне аб тым, якія файлы і каталогі адправіць кліенту, а кліент толькі правярае карэктнасць вернутых імёнаў аб'ектаў, што ў выпадку адсутнасці належных праверак на баку кліента дазваляе серверу перадаць іншыя імёны файлаў, якія адрозніваюцца ад запытаных. Пратакол SFTP пазбаўлены названых праблем, але не падтрымлівае раскрыццё спецшляхаў, такіх як «~/». Для ўхілення дадзенага адрознення ў мінулым выпуску OpenSSH у рэалізацыі SFTP-сервера было прапанавана новае пашырэнне пратаколу SFTP для расчынення шляхоў ~/ і ~user/.
Крыніца: opennet.ru