Bylo zveřejněno vydání OpenSSH 9.3, otevřené implementace klienta a serveru pro práci přes protokoly SSH 2.0 a SFTP. Nová verze opravuje bezpečnostní problémy:
- V obslužném programu ssh-add byla identifikována logická chyba, kvůli které při přidávání klíčů čipové karty do ssh-agenta nebyla agentovi předána omezení zadaná pomocí volby "ssh-add -h". V důsledku toho byl do agenta přidán klíč, pro který nebyla aplikována omezení, která umožňovala připojení pouze od určitých hostitelů.
- V obslužném programu ssh byla zjištěna chyba zabezpečení, která by mohla způsobit čtení dat z oblasti zásobníku mimo přidělenou vyrovnávací paměť při zpracování speciálně vytvořených odpovědí DNS, pokud je v konfiguračním souboru zahrnuto nastavení VerifyHostKeyDNS. Problém existuje ve vestavěné implementaci funkce getrrsetbyname(), která se používá v přenosných verzích OpenSSH sestavených bez použití externí knihovny ldns (--with-ldns) a na systémech se standardními knihovnami, které nepodporují getrrsetbyname () volání. Možnost zneužití této chyby zabezpečení jiným způsobem než zahájením odmítnutí služby pro klienta ssh je hodnocena jako nepravděpodobná.
Kromě toho lze zaznamenat zranitelnost v knihovně libskey zahrnuté v OpenBSD, která se používá v OpenSSH. Problém se vyskytuje od roku 1997 a může vést k přetečení vyrovnávací paměti v zásobníku při zpracování speciálně vytvořených názvů hostitelů. Je třeba poznamenat, že i přes to, že manifestaci zranitelnosti lze iniciovat vzdáleně přes OpenSSH, v praxi je zranitelnost k ničemu, protože pro její projevení musí název napadeného hostitele (/etc/hostname) obsahovat více než 126 znaků, a vyrovnávací paměť může být přeplněna pouze znaky s nulovým kódem ('\0').
Mezi změny nesouvisející se zabezpečením:
- Přidána podpora pro parametr "-Ohashalg=sha1|sha256" pro ssh-keygen a ssh-keyscan pro výběr algoritmu pro zobrazení snímků SSHFP.
- Přidána možnost "-G" pro sshd pro analýzu a zobrazení aktivní konfigurace bez pokusu o načtení soukromých klíčů a bez provádění dalších kontrol, což umožňuje zkontrolovat konfiguraci před generováním klíče a spustit ji neprivilegovaní uživatelé.
- sshd má vylepšenou izolaci na platformě Linux pomocí mechanismů filtrování systémových volání seccomp a seccomp-bpf. Přidány příznaky pro mmap, madvise a futex do seznamu povolených systémových volání.
Zdroj: opennet.ru