Mae rhyddhau OpenSSH 9.2 wedi'i gyhoeddi, gweithrediad agored cleient a gweinydd ar gyfer gweithio gan ddefnyddio'r protocolau SSH 2.0 a SFTP. Mae'r fersiwn newydd yn dileu bregusrwydd sy'n arwain at ryddhau cof ddwywaith yn y cam cyn-ddilysu. Dim ond y datganiad OpenSSH 9.1 sy'n cael ei effeithio; nid yw'r broblem yn ymddangos mewn fersiynau cynharach.
Er mwyn creu amodau ar gyfer amlygiad bregusrwydd, mae'n ddigon newid baner cleient SSH i "SSH-2.0-FuTTYSH_9.1p1" er mwyn gosod y baneri "SSH_BUG_CURVE25519PAD" a "SSH_OLD_DHGEX", sy'n dibynnu ar y fersiwn o'r SSH. cleient. Ar Γ΄l gosod y baneri hyn, mae'r cof ar gyfer y byffer βoptions.kex_algorithmsβ yn cael ei ryddhau ddwywaith - wrth weithredu'r swyddogaeth do_ssh2_kex(), sy'n galw compat_kex_proposal(), ac wrth weithredu'r swyddogaeth do_authentication2(), sy'n galw mewnbwn_userauth_request(), (mm_getpwnamallow). ), copy_set_server_options() ar hyd y gadwyn , assemble_algorithms() a kex_assemble_names().
Mae creu camfanteisio gweithredol ar gyfer y bregusrwydd yn cael ei ystyried yn annhebygol, gan fod y broses ecsbloetio yn rhy gymhleth - mae llyfrgelloedd dyrannu cof modern yn darparu amddiffyniad rhag rhyddhau cof ddwywaith, ac mae'r broses cyn-awdur lle mae'r gwall yn bresennol yn rhedeg gyda breintiau llai mewn ynysig. amgylchedd blwch tywod.
Yn ogystal Γ’'r bregusrwydd a nodwyd, mae'r datganiad newydd hefyd yn datrys dau fater diogelwch arall:
- Digwyddodd gwall wrth brosesu'r gosodiad "PermitRemoteOpen", gan achosi i'r ddadl gyntaf gael ei hanwybyddu os yw'n wahanol i'r gwerthoedd "unrhyw" a "dim". Mae'r broblem yn ymddangos mewn fersiynau mwy newydd nag OpenSSH 8.7 ac yn achosi i'r siec gael ei hepgor pan mai dim ond un caniatΓ’d a nodir.
- Gall ymosodwr sy'n rheoli'r gweinydd DNS a ddefnyddir i ddatrys enwau gyflawni amnewid nodau arbennig (er enghraifft, β*β) i ffeiliau hysbys_hosts os yw'r opsiynau CanonicalizeHostname a CanonicalizePermittedCNAMEs wedi'u galluogi yn y ffurfweddiad, ac nid yw datryswr y system yn gwirio cywirdeb ymatebion gan y gweinydd DNS. Ystyrir bod yr ymosodiad yn annhebygol oherwydd mae'n rhaid i'r enwau a ddychwelwyd gyd-fynd Γ’'r amodau a nodir trwy CanonicalizePermittedCNAMEs.
Newidiadau eraill:
- Mae gosodiad EnableEscapeCommandline wedi'i ychwanegu at ssh_config ar gyfer ssh i reoli a yw prosesu ochr y cleient o'r dilyniant dianc "~C" sy'n darparu'r llinell orchymyn wedi'i alluogi. Yn ddiofyn, mae trin "~C" bellach wedi'i analluogi i ddefnyddio ynysu blychau tywod tynnach, a allai dorri systemau sy'n defnyddio "~C" ar gyfer anfon porthladd ymlaen ar amser rhedeg.
- Mae cyfarwyddeb ChannelTimeout wedi'i hychwanegu at sshd_config ar gyfer sshd i osod terfyn amser segur y sianel (bydd sianeli lle na chofnodir traffig am yr amser a nodir yn y gyfarwyddeb yn cael eu cau'n awtomatig). Gellir gosod cyfnodau gwahanol ar gyfer sesiynau, X11, asiant ac ailgyfeirio traffig.
- Mae'r gyfarwyddeb UnusedConnectionTimeout wedi'i hychwanegu at sshd_config ar gyfer sshd, sy'n eich galluogi i osod terfyn amser ar gyfer terfynu cysylltiadau cleient sydd wedi bod heb sianeli gweithredol ers amser penodol.
- Mae'r opsiwn "-V" wedi'i ychwanegu at sshd i arddangos y fersiwn, yn debyg i'r opsiwn tebyg yn y cleient ssh.
- Ychwanegwyd y llinell "Host" at allbwn "ssh -G", gan adlewyrchu gwerth dadl yr enw gwesteiwr.
- Mae'r opsiwn "-X" wedi'i ychwanegu at scp a sftp i reoli paramedrau protocol SFTP megis maint byffer copi a nifer y ceisiadau sydd ar y gweill.
- Mae ssh-keyscan yn caniatΓ‘u sganio ystodau cyfeiriadau CIDR llawn, er enghraifft "ssh-keyscan 192.168.0.0/24".
Ffynhonnell: opennet.ru