Udgivelsen af OpenSSH 8.6 er blevet offentliggjort, en åben implementering af en klient og server til at arbejde ved hjælp af SSH 2.0- og SFTP-protokollerne. Den nye version eliminerer en sårbarhed i implementeringen af LogVerbose-direktivet, som dukkede op i den tidligere udgivelse og giver dig mulighed for at øge niveauet af debugging-information, der dumpes ind i loggen, herunder evnen til at filtrere efter skabeloner, funktioner og filer, der er forbundet med den udførte kode med nulstillingsrettigheder i en isoleret sshd-proces i et sandkassemiljø.
En angriber, der får kontrol over en uprivilegeret proces ved hjælp af en endnu ukendt sårbarhed, kan bruge et LogVerbose-problem til at omgå sandboxing og angribe en proces, der kører med forhøjede rettigheder. LogVerbose-sårbarheden anses for usandsynlig i praksis, fordi LogVerbose-indstillingen er deaktiveret som standard og typisk kun bruges under fejlretning. Angrebet kræver også, at man finder en ny sårbarhed i en uprivilegeret proces.
Ændringer i OpenSSH 8.6, der ikke er relateret til sårbarheden:
- En ny protokoludvidelse er blevet implementeret i sftp og sftp-server "[e-mail beskyttet]", som gør det muligt for SFTP-klienten at indhente information om de begrænsninger, der er sat på serveren, herunder begrænsninger for den maksimale pakkestørrelse og skrive- og læseoperationer. I sftp bruges en ny udvidelse til at vælge den optimale blokstørrelse ved overførsel af data.
- En ModuliFile-indstilling er blevet tilføjet til sshd_config for sshd, så du kan angive stien til en "moduli"-fil, der indeholder grupper for DH-GEX.
- TEST_SSH_ELAPSED_TIMES miljøvariablen er blevet tilføjet til enhedstests for at aktivere output af den tid, der er forløbet siden hver test blev kørt.
- GNOME adgangskodeanmodningsgrænsefladen er opdelt i to muligheder, en for GNOME2 og en for GNOME3 (contrib/gnome-ssk-askpass3.c). En variant til GNOME3 til at forbedre Wayland-kompatibiliteten bruger et opkald til gdk_seat_grab() ved styring af tastatur- og musoptagelse.
- En soft-disallow af fstatat64-systemkaldet er blevet tilføjet til den seccomp-bpf-baserede sandbox, der bruges i Linux.
Kilde: opennet.ru