Efter seks måneders udvikling præsenteres udgivelsen af OpenSSH 8.9, en åben implementering af en klient og server til at arbejde over SSH 2.0- og SFTP-protokollerne. Den nye version af sshd retter en sårbarhed, der potentielt kan tillade uautoriseret adgang. Problemet er forårsaget af et heltalsoverløb i godkendelseskoden, men kan kun udnyttes i kombination med andre logiske fejl i koden.
I sin nuværende form kan sårbarheden ikke udnyttes, når rettighedsadskillelsestilstanden er aktiveret, da dens manifestation er blokeret af separate kontroller udført i sporingskoden for rettighedsadskillelse. Privilegeadskillelsestilstand har været aktiveret som standard siden 2002 siden OpenSSH 3.2.2 og har været obligatorisk siden udgivelsen af OpenSSH 7.5 udgivet i 2017. Derudover er sårbarheden i bærbare versioner af OpenSSH, der starter med release 6.5 (2014), blokeret af kompilering med inkludering af heltalsoverløbsbeskyttelsesflag.
Andre ændringer:
- Den bærbare version af OpenSSH i sshd har fjernet indbygget understøttelse af hash-adgangskoder ved hjælp af MD5-algoritmen (tillader at linke til eksterne biblioteker såsom libxcrypt for at vende tilbage).
- ssh, sshd, ssh-add og ssh-agent implementerer et undersystem for at begrænse videresendelse og brug af nøgler, der er tilføjet til ssh-agent. Undersystemet giver dig mulighed for at sætte regler, der bestemmer, hvordan og hvor nøgler kan bruges i ssh-agent. For eksempel at tilføje en nøgle, der kun kan bruges til at godkende enhver bruger, der forbinder til værten scylla.example.org, brugeren perseus til værten cetus.example.org og brugeren medea til værten charybdis.example.org med omdirigering gennem en mellemvært scylla.example.org, kan du bruge følgende kommando: $ ssh-add -h "[e-mail beskyttet]" \ -h "scylla.example.org" \ -h "scylla.example.org>[e-mail beskyttet]\ ~/.ssh/id_ed25519
- I ssh og sshd er der som standard tilføjet en hybridalgoritme til KexAlgorithms-listen, som bestemmer rækkefølgen, i hvilken nøgleudvekslingsmetoder vælges.[e-mail beskyttet]"(ECDH/x25519 + NTRU Prime), modstandsdygtig over for valg på kvantecomputere. I OpenSSH 8.9 blev denne forhandlingsmetode tilføjet mellem ECDH- og DH-metoderne, men den er planlagt til at blive aktiveret som standard i næste udgivelse.
- ssh-keygen, ssh og ssh-agent har forbedret håndtering af FIDO-tokennøgler, der bruges til enhedsverifikation, herunder nøgler til biometrisk godkendelse.
- Tilføjet kommandoen "ssh-keygen -Y match-principals" til ssh-keygen for at kontrollere brugernavne i filen med tilladte navne.
- ssh-add og ssh-agent giver mulighed for at tilføje FIDO-nøgler beskyttet af en PIN-kode til ssh-agent (PIN-anmodningen vises på tidspunktet for godkendelse).
- ssh-keygen tillader valget af hashing-algoritme (sha512 eller sha256) under signaturgenerering.
- I ssh og sshd, for at forbedre ydeevnen, læses netværksdata direkte ind i bufferen af indgående pakker, uden at mellemliggende buffering på stakken. Direkte placering af de modtagne data i en kanalbuffer implementeres på lignende måde.
- I ssh har PubkeyAuthentication-direktivet udvidet listen over understøttede parametre (ja|nej|ubundet|værtsbundet) for at give mulighed for at vælge den protokoludvidelse, der skal bruges.
I en fremtidig udgivelse planlægger vi at ændre standarden for scp-værktøjet til at bruge SFTP i stedet for den ældre SCP/RCP-protokol. SFTP bruger mere forudsigelige navnehåndteringsmetoder og bruger ikke shell-behandling af glob-mønstre i filnavne på den anden værts side, hvilket skaber sikkerhedsproblemer. Specielt ved brug af SCP og RCP bestemmer serveren, hvilke filer og mapper der skal sendes til klienten, og klienten kontrollerer kun rigtigheden af de returnerede objektnavne, hvilket, i mangel af korrekt kontrol på klientsiden, tillader server til at overføre andre filnavne, der adskiller sig fra de anmodede. SFTP-protokollen har ikke disse problemer, men understøtter ikke udvidelsen af specielle stier såsom "~/". For at imødegå denne forskel blev en ny udvidelse til SFTP-protokollen foreslået i den tidligere udgivelse af OpenSSH i implementeringen af SFTP-serveren for at udvide ~/- og ~user/-stierne.
Kilde: opennet.ru