Μετά από έξι μήνες ανάπτυξης, κυκλοφόρησε το OpenSSH 10.3, μια υλοποίηση ανοιχτού κώδικα του προγράμματος-πελάτη. υπηρέτης Για χρήση με πρωτόκολλα SSH 2.0 και SFTP. Βασικές αλλαγές:
- Διορθώθηκε ένα θέμα ευπάθειας που θα μπορούσε να επιτρέψει σε έναν εισβολέα που έχει τον έλεγχο του ονόματος χρήστη που μεταβιβάζεται κατά την εκκίνηση του βοηθητικού προγράμματος ssh να εκτελέσει ενδεχομένως αυθαίρετες εντολές shell. Το θέμα ευπάθειας παρουσιάζεται σε συστήματα που χρησιμοποιούν την αντικατάσταση "%u" σε ορισμένες οδηγίες αρχείων ρύθμισης παραμέτρων, όπως "Match exec". Το πρόβλημα προκαλείται από την επικύρωση ειδικών χαρακτήρων στο όνομα χρήστη μετά την εκτέλεση των %. αντικαταστάσεων στο αρχείο ρύθμισης παραμέτρων ssh_config.
- Ένα πρόβλημα ασφαλείας στο sshd που προκλήθηκε από εσφαλμένη αντιστοίχιση της επιλογής authorized_keys principals="" με τη λίστα ονομάτων (principals) σε ένα πιστοποιητικό, όταν τα ονόματα περιέχουν τον χαρακτήρα "," έχει διορθωθεί. Η εκμετάλλευση του θέματος ευπάθειας απαιτεί την καθορισμό πολλαπλών ονομάτων στην επιλογή authorized_keys principals="" και την έκδοση πιστοποιητικού από την CA με πολλά ονόματα διαχωρισμένα με κόμματα (αυτό δεν επιτρέπεται κανονικά). Η συμπεριφορά για πιστοποιητικά με κενό όνομα έχει αλλάξει: προηγουμένως, ένα κενό όνομα καλύπτονταν από όλες τις επιλογές authorized_keys principals="", αλλά τώρα δεν καλύπτεται.
- Διορθώθηκε ένα πρόβλημα στο scp όπου η μεταφόρτωση ενός αρχείου ως root με την επιλογή -O και χωρίς την επιλογή -p δεν διέγραφε τις σημαίες setuid/setgid.
- Στο sshd, διορθώθηκε ένα πρόβλημα με τον χειρισμό κλειδιών ECDSA στις οδηγίες PubkeyAcceptedAlgorithms και HostbasedAcceptedAlgorithms, λόγω του οποίου, εάν είχε καθοριστεί οποιοσδήποτε αλγόριθμος ECDSA (για παράδειγμα, "ecdsa-sha2-nistp384"), όλοι οι άλλοι αλγόριθμοι που βασίζονται στο ECDSA θα γίνονταν επίσης αποδεκτοί, ακόμα κι αν δεν αναφέρονταν ρητά ως αποδεκτοί.
- Κατά την αλληλεπίδραση με πράκτορες SSH, τα ssh και sshd υποστηρίζουν πλέον τα αναγνωριστικά (σημεία κώδικα) που ορίζονται από το IANA στην προδιαγραφή draft-ietf-sshm-ssh-agent. Διατηρείται η υποστήριξη για αναγνωριστικά που χρησιμοποιούνταν προηγουμένως, όπως το "@openssh.com".
- Το ssh-agent υλοποιεί την επέκταση "query", η οποία ορίζεται στην προδιαγραφή draft-ietf-sshm-ssh-agent, η οποία επιτρέπει τον προσδιορισμό των λειτουργιών που υποστηρίζονται από τον agent. Η επιλογή "-Q" έχει προστεθεί στο βοηθητικό πρόγραμμα ssh-add για την υποβολή ερωτημάτων στη λίστα των υποστηριζόμενων επεκτάσεων πρωτοκόλλου.
- Στο sshd_config, μπορούν να καθοριστούν πολλά αρχεία στην οδηγία RevokedKeys και στο ssh_config, μπορούν να καθοριστούν πολλά αρχεία στην οδηγία RevokedHostKeys.
- Το SSH έχει πλέον μια εντολή escape "~I" και μια επιλογή "-O conninfo" για την εμφάνιση πληροφοριών σχετικά με την τρέχουσα σύνδεση, καθώς και μια επιλογή "-O channels" για την εμφάνιση πληροφοριών σχετικά με τα ανοιχτά κανάλια.
- Στο sshd, η οδηγία PerSourcePenalties περιλαμβάνει πλέον την επιλογή 'invaliduser' για την προσθήκη καθυστέρησης (προεπιλογή 5 δευτερόλεπτα) κατά την προσπάθεια σύνδεσης με έναν ανύπαρκτο χρήστη. Έχει προστεθεί η δυνατότητα καθορισμού τιμών καθυστέρησης που δεν είναι ακέραιες.
- Η επιλογή GSSAPIDelegateCredentials έχει προστεθεί στο sshd για τον έλεγχο της αποδοχής των ανατεθειμένων διαπιστευτηρίων που παρέχονται από τον υπολογιστή-πελάτη.
- Το ssh-keygen υποστηρίζει πλέον την εγγραφή κλειδιών ED25519 σε μορφή PKCS8.
- Προστέθηκε υποστήριξη για το σχήμα ψηφιακής υπογραφής ed25519, που υλοποιήθηκε μέσω libcrypto.
Πηγή: opennet.ru
