Vydání OpenSSH 10.1

Byla zveřejněna verze OpenSSH 10.1, otevřená implementace klienta a serveru pro práci s protokoly SSH 2.0 a SFTP.

Hlavní změny:

  • Byl vyřešen bezpečnostní problém, který mohl útočníkovi umožnit substituci příkazů shellu manipulací se speciálními znaky v uživatelském jméně nebo URI při spuštění příkazu zadaného pomocí nastavení „ProxyCommand“ a obsahujícího substituci „%u“. Tento problém se týká pouze systémů, které umožňují substituci uživatelských jmen nebo URI získaných z nedůvěryhodných zdrojů při spuštění ssh.

    Aby se takové útoky zablokovaly, je zakázáno používat řídicí znaky v uživatelských jménech zadaných na příkazovém řádku nebo nahrazovaných do nastavení pomocí sekvencí %. Použití znaku null ("\0") v URI ssh:// je také zakázáno. Výjimka je udělována pouze pro uživatelská jména zadaná v konfiguračním souboru (za předpokladu, že data v konfiguračním souboru jsou důvěryhodná).

  • Nástroje ssh a ssh-agent nyní podporují klíče ed25519 uložené v tokenech PKCS#11.
  • Do konfiguračního souboru ssh_config bylo přidáno nastavení RefuseConnection. Při zpracování v aktivní sekci ukončí proces s chybovou zprávou bez pokusu o navázání spojení. Match host foo RefuseConnection „host foo se již nepoužívá, připojte se k host bar.“
  • Do ssh a sshd byly přidány obslužné rutiny signálu SIGINFO pro zaznamenávání informací o relaci a aktivním kanálu.
  • V případě odmítnutí ověření uživatele pomocí certifikátu sshd zajistí, že bude zaznamenán nejen důvod zablokování přihlášení, ale také komplexní informace pro identifikaci problematického certifikátu.
  • sshd přidal kontrolu čísla zobrazení X11 vzhledem k posunu zadanému v direktivě X11DisplayOffset.
  • Sada jednotkových testů nyní obsahuje funkce měření výkonu, které se aktivují spuštěním příkazu „make UNITTEST_BENCHMARK=yes“ na OpenBSD nebo „make unit-bench“ na jiných systémech.

Potenciálně nebezpečné změny zpětné kompatibility:

  • Do ssh bylo přidáno varování, které se zobrazuje, když je během navazování spojení použit algoritmus pro shodu klíčů, který není odolný vůči útokům hrubou silou na kvantovém počítači. Toto varování bylo přidáno kvůli riziku budoucích útoků využívajících dříve uložené výpisy provozu. Chcete-li varování deaktivovat, byla do ssh_config přidána možnost WarnWeakCrypto. Match host unsafe.example.com WarnWeakCrypto no
  • Zpracování parametrů DSCP (Directional Message Code) Quality of Service (IPQoS) bylo v protokolech ssh a sshd výrazně upraveno. Interaktivní provoz je nyní ve výchozím nastavení nastaven na třídu EF (Expedited Forwarding) pro zpracování s vyšší prioritou v bezdrátových sítích. Neinteraktivní provoz je nyní nastaven na výchozí třídu operačního systému. Třídu provozu lze změnit pomocí nastavení IPQoS v souborech ssh_config a sshd_config. Parametry IPv4 ToS (type-of-service) v direktivě IPQoS byly zastaralé (DSCP nahradil ToS).
  • Při přidávání certifikátu do ssh-add je nyní doba platnosti certifikátu nastavena na hodnotu o 5 minut delší než je doba platnosti certifikátu (aby se automaticky odstranily certifikáty s prošlou platností). Pro zakázání tohoto chování byla do ssh-add přidána volba „-N“.
  • Byla odstraněna podpora pro klíče XMSS, která byla označena jako experimentální a ve výchozím nastavení nebyla nikdy povolena.
  • Unixové sockety vytvořené procesy ssh-agent a sshd byly přesunuty z /tmp do ~/.ssh/agent, čímž je zajištěno, že izolované procesy s omezeným přístupem k souborovému systému, ale otevřeným přístupem k /tmp, nemohou k těmto socketům přistupovat.

V budoucích verzích budou záznamy DNS SHA1 SSHFP zastaralé z důvodu bezpečnostních problémů s hašovací funkcí SHA1. Tyto záznamy budou ignorovány a příkaz „ssh-keygen -r“ bude generovat pouze záznamy SSHFP SHA256.

Zdroj: opennet.ru

Kupte si spolehlivý hosting pro stránky s DDoS ochranou, VPS VDS servery 🔥 Kupte si spolehlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster