Апублікаваны рэліз OpenSSH 9.6, адчыненай рэалізацыі кліента і сервера для працы па пратаколах SSH 2.0 і SFTP. У новай версіі ліквідаваны тры праблемы з бяспекай:
- Уразлівасць у пратаколе SSH (CVE-2023-48795, напад «Terrapin»), якая дазваляе падчас MITM-напады адкаціць злучэнне на выкарыстанне меней абароненых алгарытмаў аўтэнтыфікацыі і адключыць абарону ад нападаў па іншых каналах, якія ўзнаўляюць увод праз аналіз затрымак паміж націскамі клавіш . Метад нападу выкладзены ў асобнай навіны.
- Уразлівасць ва ўтыліце ssh, якая дазваляе ажыццявіць падстаноўку адвольных shell-каманд праз маніпуляцыю са значэннямі лагіна і хаста, утрымоўвальнымі спецзнакі. Уразлівасць можа быць эксплуатаваная, калі атакавалы кантралюе значэнні лагіна і імя хаста, якія перадаюцца ў ssh, дырэктывы ProxyCommand і LocalCommand або блокі "match exec", у якіх паказаны знакі падстаноўкі, такія як %u і %h. Напрыклад, некарэктныя лагін і хост могуць быць падстаўлены ў сістэмах, выкарыстоўвалых субмодулі ў Git, бо Git не забараняе ўказанне спецзнакаў у імі хаста і карыстача. Падобная ўразлівасць таксама выяўляецца ў libssh.
- Памылка ў ssh-agent, з-за якой пры даданні зачыненых ключоў PKCS#11, абмежаванні ўжываліся толькі да першага ключа, вернутаму токенам PKCS#11. Праблема не дакранаецца звычайных зачыненых ключоў, токенаў FIDO і ключоў, зададзеных без абмежаванняў.
Астатнія змены:
- У ssh дададзена падстаноўка "%j", якая расчыняецца ў імя хаста, паказанае праз дырэктыву ProxyJump.
- У ssh дададзена падтрымка наладкі ChannelTimeout на баку кліента, якая можа быць скарыстана для завяршэння неактыўных каналаў.
- У ssh, sshd, ssh-add і ssh-keygen дададзеная падтрымка чытання зачыненых ключоў ED25519 у фармаце PEM PKCS8 (раней падтрымліваўся толькі фармат OpenSSH).
- У ssh і sshd дададзена пашырэнне пратаколу для паўторнага ўзгаднення алгарытмаў лічбавага подпісу для аўтэнтыфікацыі па адчыненых ключах, які здзяйсняецца на стадыі пасля атрымання дадзеных аб імі карыстача. Напрыклад, пры дапамозе пашырэння можна выбарачна выкарыстоўваць іншыя алгарытмы ў прывязцы да карыстачоў праз указанне PubkeyAcceptedAlgorithms у блоку "Match user".
- У ssh-add і ssh-agent дададзена пашырэнне пратаколу для задання сертыфікатаў пры загрузцы ключоў PKCS#11, што дазваляе выкарыстоўваць сертыфікаты, злучаныя з зачыненымі ключамі PKCS#11, ва ўсіх утылітах OpenSSH, якія падтрымліваюць ssh-agent, а не толькі ў ssh.
- Палепшана вызначэнне непадтрымліваемых ці нестабільных сцягоў кампілятара, такіх як "-fzero-call-used-regs" у clang.
- Для абмежавання прывілеяў працэсу sshd у версіях OpenSolaris, якія падтрымліваюць інтэрфейс getpflags(), задзейнічаны рэжым PRIV_XPOLICY замест PRIV_LIMIT.
Крыніца: opennet.ru