Μετά από έξι μήνες ανάπτυξης, παρουσιάστηκε η κυκλοφορία του OpenSSH 8.9, μιας εφαρμογής ανοιχτού πελάτη και διακομιστή για εργασία με τα πρωτόκολλα SSH 2.0 και SFTP. Η νέα έκδοση του sshd διορθώνει μια ευπάθεια που θα μπορούσε ενδεχομένως να επιτρέψει πρόσβαση χωρίς έλεγχο ταυτότητας. Το ζήτημα προκαλείται από υπερχείλιση ακέραιου αριθμού στον κώδικα ελέγχου ταυτότητας, αλλά μπορεί να χρησιμοποιηθεί μόνο σε συνδυασμό με άλλα λογικά σφάλματα στον κώδικα.
Στην τρέχουσα μορφή του, η ευπάθεια δεν μπορεί να αξιοποιηθεί όταν είναι ενεργοποιημένη η λειτουργία διαχωρισμού προνομίων, καθώς η εκδήλωσή της αποκλείεται από ξεχωριστούς ελέγχους που πραγματοποιούνται στον κώδικα παρακολούθησης διαχωρισμού προνομίων. Η λειτουργία διαχωρισμού προνομίων έχει ενεργοποιηθεί από προεπιλογή από το 2002 από το OpenSSH 3.2.2 και είναι υποχρεωτική από την κυκλοφορία του OpenSSH 7.5 που δημοσιεύτηκε το 2017. Επιπλέον, σε φορητές εκδόσεις του OpenSSH που ξεκινούν με την έκδοση 6.5 (2014), η ευπάθεια αποκλείεται από τη μεταγλώττιση με τη συμπερίληψη σημαιών προστασίας υπερχείλισης ακεραίων.
Άλλες αλλαγές:
- Η φορητή έκδοση του OpenSSH σε sshd έχει αφαιρέσει την εγγενή υποστήριξη για κατακερματισμό κωδικών πρόσβασης χρησιμοποιώντας τον αλγόριθμο MD5 (επιτρέποντας την επιστροφή σύνδεσης με εξωτερικές βιβλιοθήκες όπως το libxcrypt).
- Τα ssh, sshd, ssh-add και ssh-agent υλοποιούν ένα υποσύστημα για τον περιορισμό της προώθησης και χρήσης κλειδιών που προστίθενται στο ssh-agent. Το υποσύστημα σάς επιτρέπει να ορίσετε κανόνες που καθορίζουν πώς και πού μπορούν να χρησιμοποιηθούν τα κλειδιά στο ssh-agent. Για παράδειγμα, για να προσθέσετε ένα κλειδί που μπορεί να χρησιμοποιηθεί μόνο για τον έλεγχο ταυτότητας οποιουδήποτε χρήστη συνδέεται με τον κεντρικό υπολογιστή scylla.example.org, ο χρήστης perseus στον κεντρικό υπολογιστή cetus.example.org και ο χρήστης medea στον κεντρικό υπολογιστή charybdis.example.org με ανακατεύθυνση μέσω ενός ενδιάμεσου κεντρικού υπολογιστή scylla.example.org, μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή: $ ssh-add -h "[προστασία μέσω email]» \ -h «scylla.example.org» \ -h «scylla.example.org>[προστασία μέσω email]» \ ~/.ssh/id_ed25519
- Στα ssh και sshd, ένας υβριδικός αλγόριθμος έχει προστεθεί από προεπιλογή στη λίστα KexAlgorithms, ο οποίος καθορίζει τη σειρά με την οποία επιλέγονται οι μέθοδοι ανταλλαγής κλειδιών.[προστασία μέσω email]"(ECDH/x25519 + NTRU Prime), ανθεκτικό στην επιλογή σε κβαντικούς υπολογιστές. Στο OpenSSH 8.9, αυτή η μέθοδος διαπραγμάτευσης προστέθηκε μεταξύ των μεθόδων ECDH και DH, αλλά σχεδιάζεται να ενεργοποιηθεί από προεπιλογή στην επόμενη έκδοση.
- Τα ssh-keygen, ssh και ssh-agent έχουν βελτιώσει τον χειρισμό των κλειδιών διακριτικών FIDO που χρησιμοποιούνται για την επαλήθευση συσκευών, συμπεριλαμβανομένων των κλειδιών για βιομετρικό έλεγχο ταυτότητας.
- Προστέθηκε η εντολή "ssh-keygen -Y match-principals" στο ssh-keygen για έλεγχο των ονομάτων χρήστη στο αρχείο επιτρεπόμενης λίστας ονομάτων.
- Το ssh-add και το ssh-agent παρέχουν τη δυνατότητα προσθήκης κλειδιών FIDO που προστατεύονται από έναν κωδικό PIN στο ssh-agent (το αίτημα PIN εμφανίζεται τη στιγμή του ελέγχου ταυτότητας).
- Το ssh-keygen επιτρέπει την επιλογή του αλγορίθμου κατακερματισμού (sha512 ή sha256) κατά τη δημιουργία υπογραφών.
- Στα ssh και sshd, για τη βελτίωση της απόδοσης, τα δεδομένα δικτύου διαβάζονται απευθείας στην προσωρινή μνήμη των εισερχόμενων πακέτων, παρακάμπτοντας την ενδιάμεση προσωρινή μνήμη στη στοίβα. Η απευθείας τοποθέτηση των δεδομένων που λαμβάνονται σε μια προσωρινή μνήμη καναλιού υλοποιείται με παρόμοιο τρόπο.
- Στο ssh, η οδηγία PubkeyAuthentication έχει επεκτείνει τη λίστα των υποστηριζόμενων παραμέτρων (ναι|όχι|χωρίς δέσμευση|δέσμευση κεντρικού υπολογιστή) για να παρέχει τη δυνατότητα επιλογής της επέκτασης πρωτοκόλλου που θα χρησιμοποιηθεί.
Σε μια μελλοντική έκδοση, σχεδιάζουμε να αλλάξουμε την προεπιλογή του βοηθητικού προγράμματος scp ώστε να χρησιμοποιεί SFTP αντί για το πρωτόκολλο SCP/RCP παλαιού τύπου. Το SFTP χρησιμοποιεί πιο προβλέψιμες μεθόδους χειρισμού ονομάτων και δεν χρησιμοποιεί επεξεργασία κελύφους μοτίβων σφαιρών στα ονόματα αρχείων στην πλευρά του άλλου κεντρικού υπολογιστή, γεγονός που δημιουργεί προβλήματα ασφαλείας. Ειδικότερα, όταν χρησιμοποιεί SCP και RCP, ο διακομιστής αποφασίζει ποια αρχεία και καταλόγους θα στείλει στον πελάτη και ο πελάτης ελέγχει μόνο την ορθότητα των ονομάτων αντικειμένων που επιστρέφονται, κάτι που, ελλείψει κατάλληλων ελέγχων από την πλευρά του πελάτη, επιτρέπει την διακομιστή για τη μεταφορά άλλων ονομάτων αρχείων που διαφέρουν από αυτά που ζητήθηκαν. Το πρωτόκολλο SFTP δεν έχει αυτά τα προβλήματα, αλλά δεν υποστηρίζει την επέκταση ειδικών διαδρομών όπως το "~/". Για να αντιμετωπιστεί αυτή η διαφορά, προτάθηκε μια νέα επέκταση στο πρωτόκολλο SFTP στην προηγούμενη έκδοση του OpenSSH στην υλοποίηση του διακομιστή SFTP για την επέκταση των διαδρομών ~/ και ~ χρήστη/.
Πηγή: opennet.ru