Mae rhyddhau OpenSSH 9.3, gweithrediad agored y cleient a'r gweinydd ar gyfer gweithio dros brotocolau SSH 2.0 a SFTP, wedi'i gyhoeddi. Mae'r fersiwn newydd yn datrys problemau diogelwch:
- Mae gwall rhesymegol wedi'i nodi yn y cyfleustodau ssh-add, oherwydd, wrth ychwanegu allweddi cerdyn call i ssh-agent, ni chafodd y cyfyngiadau a nodwyd gan ddefnyddio'r opsiwn "ssh-add -h" eu trosglwyddo i'r asiant. O ganlyniad, ychwanegwyd allwedd i'r asiant, na chymhwyswyd cyfyngiadau ar ei gyfer a oedd yn caniatΓ‘u cysylltiadau gan westeion penodol yn unig.
- Mae bregusrwydd wedi'i nodi yn y cyfleustodau ssh a allai achosi i ddata gael ei ddarllen o ardal y pentwr y tu allan i'r byffer a neilltuwyd wrth brosesu ymatebion DNS wedi'u crefftio'n arbennig os yw'r gosodiad VerifyHostKeyDNS wedi'i gynnwys yn y ffeil ffurfweddu. Mae'r broblem yn bodoli wrth weithredu swyddogaeth getrrsetbyname() yn fewnol, a ddefnyddir mewn fersiynau cludadwy o OpenSSH a adeiladwyd heb ddefnyddio'r llyfrgell ldns allanol (--with-ldns) ac ar systemau gyda llyfrgelloedd safonol nad ydynt yn cefnogi'r enw getrrset () galw. Mae'r posibilrwydd o ecsbloetio'r bregusrwydd, heblaw am gychwyn gwrthod gwasanaeth i'r cleient ssh, yn cael ei asesu'n annhebygol.
Yn ogystal, gellir nodi bregusrwydd yn y llyfrgell libskey sydd wedi'i chynnwys gydag OpenBSD, a ddefnyddir yn OpenSSH. Mae'r broblem wedi bod yn bresennol ers 1997 a gall arwain at orlif byffer ar y pentwr wrth brosesu enwau gwesteiwr wedi'u crefftio'n arbennig. Nodir, er gwaethaf y ffaith y gellir cychwyn amlygiad y bregusrwydd o bell trwy OpenSSH, yn ymarferol mae'r bregusrwydd yn ddiwerth, oherwydd ar gyfer ei amlygiad rhaid i enw'r gwesteiwr yr ymosodir arno (/ etc / enw ββgwesteiwr) gynnwys mwy na 126 o nodau, a dim ond nodau Γ’ chod nwl ('\0') y gellir gorlifo'r byffer.
Ymhlith y newidiadau nad ydynt yn ymwneud Γ’ diogelwch:
- Ychwanegwyd cefnogaeth i baramedr "-Ohashalg=sha1|sha256" i ssh-keygen a ssh-keyscan i ddewis algorithm ar gyfer dangos cipluniau SSHFP.
- Ychwanegwyd opsiwn "-G" i sshd i ddosrannu ac arddangos y cyfluniad gweithredol heb geisio llwytho allweddi preifat a heb berfformio gwiriadau ychwanegol, gan ganiatΓ‘u i gyfluniad gael ei wirio cyn cynhyrchu allwedd a chael ei redeg gan ddefnyddwyr difreintiedig.
- Mae sshd wedi gwella arwahanrwydd ar y platfform Linux gan ddefnyddio'r mecanweithiau hidlo galwadau system seccomp a seccomp-bpf. Ychwanegwyd baneri at mmap, madvise a futex at y rhestr o alwadau system a ganiateir.
Ffynhonnell: opennet.ru