Nakon šest mjeseci razvoja, predstavljeno je izdanje OpenSSH 8.9, otvorene implementacije klijenta i servera za rad preko SSH 2.0 i SFTP protokola. Nova verzija sshd-a popravlja ranjivost koja bi potencijalno mogla omogućiti neautoriziran pristup. Problem je uzrokovan prekomjernim cijelim brojem u kodu za provjeru autentičnosti, ali se može iskoristiti samo u kombinaciji s drugim logičkim greškama u kodu.
U svom trenutnom obliku, ranjivost se ne može iskoristiti kada je omogućen način odvajanja privilegija, budući da je njeno ispoljavanje blokirano odvojenim provjerama izvršenim u kodu za praćenje razdvajanja privilegija. Režim razdvajanja privilegija je podrazumevano omogućen od 2002. godine od OpenSSH 3.2.2, a obavezan je od objavljivanja OpenSSH 7.5 objavljenog 2017. godine. Osim toga, u prenosivim verzijama OpenSSH-a počevši od izdanja 6.5 (2014), ranjivost je blokirana kompajliranjem uz uključivanje zaštitnih oznaka za cijeli broj od prelijevanja.
Ostale promjene:
- Prenosiva verzija OpenSSH-a u sshd-u je uklonila izvornu podršku za heširanje lozinki pomoću MD5 algoritma (omogućava vraćanje povezivanja sa eksternim bibliotekama kao što je libxcrypt).
- ssh, sshd, ssh-add i ssh-agent implementiraju podsistem za ograničavanje prijenosa i korištenja ključeva dodanih ssh-agentu. Podsistem vam omogućava postavljanje pravila koja određuju kako i gdje se ključevi mogu koristiti u ssh-agentu. Na primjer, da biste dodali ključ koji se može koristiti za autentifikaciju samo kada se bilo koji korisnik poveže na host scylla.example.org, korisnik perseus na host cetus.example.org i korisnik medea na host charybdis.example.org s preusmjeravanjem preko posredničkog hosta scylla.example.org, možete koristiti sljedeću naredbu: $ ssh-add -h "perseus@cetus.example.org" \ -h "scylla.example.org" \ -h "scylla.example.org>medea@charybdis.example.org" \ ~/.ssh/id_ed25519
- U ssh i sshd, hibridni algoritam "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime), otporan na brutalnu silu na kvantnim računarima, dodan je po zadanim postavkama na listu KexAlgorithms, koja određuje redoslijed odabira metoda razmjene ključeva. U OpenSSH 8.9, ova metoda pregovaranja je dodana između ECDH i DH metoda, ali se planira da se koristi po zadanim postavkama u sljedećem izdanju.
- ssh-keygen, ssh i ssh-agent imaju poboljšano rukovanje ključevima FIDO tokena koji se koriste za verifikaciju uređaja, uključujući ključeve za biometrijsku autentifikaciju.
- Dodata naredba "ssh-keygen -Y match-principals" u ssh-keygen za provjeru korisničkih imena u datoteci liste dozvoljenih imena.
- ssh-add i ssh-agent pružaju mogućnost dodavanja FIDO ključeva zaštićenih PIN kodom ssh-agentu (zahtjev za PIN se prikazuje u trenutku autentifikacije).
- ssh-keygen omogućava izbor algoritma za heširanje (sha512 ili sha256) tokom generisanja potpisa.
- U ssh i sshd, radi poboljšanja performansi, mrežni podaci se čitaju direktno u međuspremnik dolaznih paketa, zaobilazeći međuspremnik na steku. Na sličan način se realizuje direktno postavljanje primljenih podataka u bafer kanala.
- U ssh-u, PubkeyAuthentication direktiva je proširila listu podržanih parametara (da|ne|unbound|host-bound) kako bi se omogućila mogućnost odabira proširenja protokola za korištenje.
U budućem izdanju, planirano je da uslužni program scp pređe na SFTP po defaultu, zamjenjujući naslijeđeni SCP/RCP protokol. SFTP koristi predvidljivije metode rukovanja imenima i izbjegava sigurnosno osjetljivo rukovanje glob obrascima u imenima datoteka putem ljuske na drugom hostu. Konkretno, pri korištenju SCP-a i RCP-a, server odlučuje koje datoteke i direktorije će poslati klijentu, dok klijent samo provjerava ispravnost vraćenih imena objekata. Ovo omogućava sigurnosne propuste ako se na strani klijenta ne izvrše odgovarajuće provjere. server Prenesite nazive datoteka koji nisu traženi. SFTP protokol nema ovih problema, ali ne podržava proširenje posebnih putanja kao što je "~/". Da bi se riješila ova razlika, u prethodnom OpenSSH izdanju implementacije SFTP servera predloženo je novo proširenje SFTP protokola za proširenje putanja ~/ i ~user/.
izvor: opennet.ru
