Δημοσιεύτηκε η κυκλοφορία του OpenSSH 9.6, μια ανοιχτή υλοποίηση πελάτη και διακομιστή για εργασία με χρήση των πρωτοκόλλων SSH 2.0 και SFTP. Η νέα έκδοση διορθώνει τρία ζητήματα ασφαλείας:
- Μια ευπάθεια στο πρωτόκολλο SSH (CVE-2023-48795, επίθεση "Terrapin"), η οποία επιτρέπει σε μια επίθεση MITM να επαναφέρει τη σύνδεση για να χρησιμοποιήσει λιγότερο ασφαλείς αλγόριθμους ελέγχου ταυτότητας και να απενεργοποιήσει την προστασία από επιθέσεις πλευρικού καναλιού που αναπαράγουν δεδομένα αναλύοντας τις καθυστερήσεις ανάμεσα στα πλήκτρα στο πληκτρολόγιο. Η μέθοδος επίθεσης περιγράφεται σε ξεχωριστό άρθρο ειδήσεων.
- Μια ευπάθεια στο βοηθητικό πρόγραμμα ssh που επιτρέπει την αντικατάσταση αυθαίρετων εντολών φλοιού μέσω χειρισμού των τιμών σύνδεσης και κεντρικού υπολογιστή που περιέχουν ειδικούς χαρακτήρες. Η ευπάθεια μπορεί να εκμεταλλευτεί εάν ένας εισβολέας ελέγχει τις τιμές σύνδεσης και ονόματος κεντρικού υπολογιστή που μεταβιβάζονται στις οδηγίες ssh, ProxyCommand και LocalCommand ή μπλοκ "match exec" που περιέχουν χαρακτήρες μπαλαντέρ όπως %u και %h. Για παράδειγμα, η εσφαλμένη σύνδεση και ο κεντρικός υπολογιστής μπορούν να αντικατασταθούν σε συστήματα που χρησιμοποιούν υπομονάδες στο Git, καθώς το Git δεν απαγορεύει τον καθορισμό ειδικών χαρακτήρων στον κεντρικό υπολογιστή και τα ονόματα χρηστών. Μια παρόμοια ευπάθεια εμφανίζεται επίσης στο libssh.
- Υπήρχε ένα σφάλμα στο ssh-agent όπου, κατά την προσθήκη ιδιωτικών κλειδιών PKCS#11, εφαρμόστηκαν περιορισμοί μόνο στο πρώτο κλειδί που επιστράφηκε από το διακριτικό PKCS#11. Το ζήτημα δεν επηρεάζει τα κανονικά ιδιωτικά κλειδιά, τα διακριτικά FIDO ή τα απεριόριστα κλειδιά.
Άλλες αλλαγές:
- Προστέθηκε η αντικατάσταση "%j" στο ssh, με επέκταση στο όνομα κεντρικού υπολογιστή που καθορίζεται μέσω της οδηγίας ProxyJump.
- Το ssh έχει προσθέσει υποστήριξη για τη ρύθμιση ChannelTimeout στην πλευρά του πελάτη, το οποίο μπορεί να χρησιμοποιηθεί για τον τερματισμό ανενεργών καναλιών.
- Προστέθηκε υποστήριξη για ανάγνωση ιδιωτικών κλειδιών ED25519 σε μορφή PEM PKCS8 σε ssh, sshd, ssh-add και ssh-keygen (παλαιότερα υποστηριζόταν μόνο η μορφή OpenSSH).
- Μια επέκταση πρωτοκόλλου έχει προστεθεί στο ssh και στο sshd για επαναδιαπραγμάτευση αλγορίθμων ψηφιακής υπογραφής για έλεγχο ταυτότητας δημόσιου κλειδιού μετά τη λήψη του ονόματος χρήστη. Για παράδειγμα, χρησιμοποιώντας την επέκταση, μπορείτε να χρησιμοποιήσετε επιλεκτικά άλλους αλγόριθμους σε σχέση με χρήστες, καθορίζοντας PubkeyAcceptedAlgorithms στο μπλοκ "Match user".
- Προστέθηκε μια επέκταση πρωτοκόλλου στο ssh-add και στο ssh-agent για τον ορισμό πιστοποιητικών κατά τη φόρτωση κλειδιών PKCS#11, επιτρέποντας τη χρήση πιστοποιητικών που σχετίζονται με ιδιωτικά κλειδιά PKCS#11 σε όλα τα βοηθητικά προγράμματα OpenSSH που υποστηρίζουν ssh-agent, όχι μόνο ssh.
- Βελτιωμένη ανίχνευση μη υποστηριζόμενων ή ασταθών σημαιών μεταγλωττιστή όπως "-fzero-call-used-regs" στο clang.
- Για να περιοριστούν τα προνόμια της διαδικασίας sshd, οι εκδόσεις του OpenSolaris που υποστηρίζουν τη διεπαφή getpflags() χρησιμοποιούν τη λειτουργία PRIV_XPOLICY αντί για PRIV_LIMIT.
Πηγή: opennet.ru