Релиз OpenSSH 10.3

После полугода разработки опубликован выпуск OpenSSH 10.3, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные изменения:

• Устранена уязвимость, позволяющая атакующему, контролирующему имя пользователя, передаваемое при запуске утилиты ssh, потенциально добиться выполнения произвольных shell-команд. Уязвимость проявляется в системах, использующих подстановку «%u» в некоторых директивах файла конфигурации, таких как «Match exec». Проблема вызвана проверкой спецсимволов в имени пользователя на стадии после выполнения %-подстановок в файле конфигурации ssh_config.
• Устранена проблема с безопасностью в sshd, вызванная некорректным сопоставлением опции authorized_keys principals=»» со списком имён (principal) в сертификате в ситуации, когда в именах указан символ «,». Для эксплуатации уязвимости необходимо, чтобы в опции authorized_keys principals=»» было указано несколько имён и чтобы удостоверяющий центр выписал сертификат с несколькими именами, разделёнными запятой (обычно такое не допускается). Изменено поведение в отношении сертификатов с пустым именем — ранее пустое имя подпадало под все опции authorized_keys principals=»», а теперь не подпадает.
• В scp устранена проблема, из-за которой после загрузки файла с правами root с указанием опции «-O» и без опции «-p» не очищались флаги setuid/setgid.
• В sshd исправлена проблема с обработкой ключей ECDSA в директивах PubkeyAcceptedAlgorithms и HostbasedAcceptedAlgorithms, из-за которой в случае указания любого алгоритма ECDSA (например, «ecdsa-sha2-nistp384») начинали приниматься и все остальные алгоритмы на базе ECDSA, даже если они явно не перечислены в списке допустимых.
• В ssh и sshd при взаимодействии c SSH-агентами добавлена поддержка идентификаторов (codepoint), определённых IANA в спецификации draft-ietf-sshm-ssh-agent. Поддержка ранее используемых идентификаторов вида «@openssh.com» сохранена.
• В ssh-agent реализовано расширение «query», определённое в спецификации draft-ietf-sshm-ssh-agent и позволяющее определить поддерживаемые агентом функции. Для запроса списка поддерживаемых расширений протокола через запрос «query» в утилиту ssh-add добавлена опция «-Q».
• В sshd_config разрешено указание нескольких файлов в директиве RevokedKeys, а в ssh_config — в директиве RevokedHostKeys.
• В ssh добавлена escape-команда «~I» и опция «-O conninfo» для показа информации о текущем соединении, а также опция «-O channels» для показа информация об открытых каналах.
• В sshd в директиве PerSourcePenalties реализована опция ‘invaliduser’ для добавления задержки в случае попытки входа под несуществующим пользователем (по умолчанию 5-секунд). Добавлена возможность указания нецелых значений задержки.
• В sshd добавлена опция GSSAPIDelegateCredentials для управления приёмом делегированных учётных данных, предоставленных клиентом.
• В ssh-keygen добавлена поддержка записи ключей ED25519 в формате PKCS8.
• Добавлена поддержка схемы цифровых подписей ed25519, реализованная через libcrypto.

Источник: opennet.ru