ProHoster > Блог > internet vijesti > Izdanje OpenSSH 9.6 sa eliminacijom ranjivosti

Izdanje OpenSSH 9.6 sa eliminacijom ranjivosti

Objavljeno je izdanje OpenSSH 9.6, otvorene implementacije klijenta i servera za rad koristeći SSH 2.0 i SFTP protokole. Nova verzija popravlja tri sigurnosna problema:

  • Ranjivost u SSH protokolu (CVE-2023-48795, napad "Terrapin"), koja omogućava MITM napadu da vrati vezu kako bi koristio manje sigurne algoritme za autentifikaciju i onemogućio zaštitu od napada sa strane kanala koji ponovo kreiraju ulaz analizirajući kašnjenja između pritisaka na tastere na tastaturi. Metoda napada opisana je u posebnom članku.
  • Ranjivost u ssh uslužnom programu koji dozvoljava zamjenu proizvoljnih naredbi ljuske kroz manipulaciju login i host vrijednosti koje sadrže posebne znakove. Ranjivost se može iskoristiti ako napadač kontrolira vrijednosti za prijavu i ime hosta proslijeđene ssh, ProxyCommand i LocalCommand direktivama ili blokove "match exec" koji sadrže zamjenske znakove kao što su %u i %h. Na primjer, pogrešna prijava i host mogu se zamijeniti u sistemima koji koriste podmodule u Gitu, jer Git ne zabranjuje specificiranje posebnih znakova u imenima hosta i korisnika. Slična ranjivost se također pojavljuje u libssh.
  • Postojala je greška u ssh-agentu gdje su, prilikom dodavanja privatnih ključeva PKCS#11, ograničenja primijenjena samo na prvi ključ koji je vratio PKCS#11 token. Problem ne utiče na obične privatne ključeve, FIDO tokene ili neograničene ključeve.

Ostale promjene:

  • Dodata "%j" zamjena za ssh, proširenje na ime hosta specificirano putem ProxyJump direktive.
  • ssh je dodao podršku za postavljanje ChannelTimeout-a na strani klijenta, što se može koristiti za ukidanje neaktivnih kanala.
  • Dodata podrška za čitanje privatnih ključeva ED25519 u PEM PKCS8 formatu na ssh, sshd, ssh-add i ssh-keygen (ranije je bio podržan samo OpenSSH format).
  • Ekstenzija protokola je dodana na ssh i sshd za ponovno pregovaranje algoritama digitalnog potpisa za autentifikaciju javnog ključa nakon što je primljeno korisničko ime. Na primjer, koristeći ekstenziju, možete selektivno koristiti druge algoritme u odnosu na korisnike tako što ćete navesti PubkeyAcceptedAlgorithms u bloku “Upari korisnika”.
  • Dodano proširenje protokola za ssh-add i ssh-agent za postavljanje certifikata prilikom učitavanja PKCS#11 ključeva, omogućavajući korištenje certifikata povezanih s privatnim ključevima PKCS#11 u svim OpenSSH uslužnim programima koji podržavaju ssh-agent, a ne samo ssh.
  • Poboljšano otkrivanje nepodržanih ili nestabilnih zastavica kompajlera kao što je "-fzero-call-used-regs" u clang.
  • Da bi se ograničile privilegije sshd procesa, verzije OpenSolarisa koje podržavaju getpflags() interfejs koriste PRIV_XPOLICY način umjesto PRIV_LIMIT.

izvor: opennet.ru

Dodajte komentar