Обновление OpenSSH 9.3 с устранением проблем с безопасностью

Опубликован релиз OpenSSH 9.3, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранены проблемы с безопасностью:

• В утилите ssh-add выявлена логическая ошибка, из-за которой при добавлении в ssh-agent ключей для смарткарт агенту не передавались ограничения, задаваемые при помощи опции «ssh-add -h». В итоге в агент добавлялся ключ, для которого не применялись ограничения, допускающие подключения только с определённых хостов.
• В утилите ssh выявлена уязвимость, которая может привести к чтению данных из области стека вне выделенного буфера при обработке специально оформленных DNS-ответов, в случае включения в файле конфигурации настройки VerifyHostKeyDNS. Проблема присутствует во встроенной реализации функции getrrsetbyname(), которая применяется в переносимых версиях OpenSSH, собираемых без использования внешней библиотеки ldns (—with-ldns) и на системах со стандартными библиотеками, не поддерживающими вызов getrrsetbyname(). Возможность эксплуатации уязвимости, кроме как для инициирования отказа в обслуживании клиента ssh, оценивается как маловероятная.

Дополнительно можно отметить уязвимость во входящей в состав OpenBSD библиотеке libskey, которая используется в OpenSSH. Проблема присутствует с 1997 года и может привести к переполнению буфера в стеке при обработке специально оформленных имён хостов. Отмечается, что несмотря на то, что проявление уязвимости может быть инициировано удалённо через OpenSSH, на практике уязвимость бесполезна, так как для её проявления имя атакуемого хоста (/etc/hostname) должно содержать больше 126 символов, а буфер может быть переполнен только символами с нулевым кодом (‘\0’).

Среди не связанных с безопасностью изменений:

• В ssh-keygen и ssh-keyscan добавлена поддержка параметра «-Ohashalg=sha1|sha256» для выбора алгоритма отображения слепков SSHFP.
• В sshd добавлена опция «-G» для разбора и отображения активной конфигурации без попыток загрузки закрытых ключей и без выполнения дополнительных проверок, что позволяет проверять конфигурацию на стадии до генерации ключей и запускать проверку непривилегированными пользователями.
• В sshd усилена изоляция на платформе Linux, использующая механизмы фильтрации системных вызовов seccomp и seccomp-bpf. В список разрешённых системных вызовов добавлены флаги к mmap, madvise и futex.

Источник: opennet.ru