Avaldatud on OpenSSH 9.6 väljalase, mis on kliendi ja serveri avatud rakendus SSH 2.0 ja SFTP protokollidega töötamiseks. Uus versioon parandab kolm turvaprobleemi:
- SSH-protokolli haavatavus (CVE-2023-48795, "Terrapin" rünnak), mis võimaldab MITM-i rünnakul ühendust tühistada, et kasutada vähem turvalisi autentimisalgoritme ja keelata kaitse külgkanalite rünnakute eest, mis taasloovad sisendit viivitusi analüüsides klahvivajutuste vahel klaviatuuril . Rünnakumeetodit kirjeldatakse eraldi uudiste artiklis.
- Ssh-utiliidi haavatavus, mis võimaldab suvaliste shellikäskude asendamist erimärke sisaldavate sisselogimis- ja hostiväärtustega manipuleerimise kaudu. Haavatavust saab ära kasutada, kui ründaja juhib ssh-, ProxyCommandi ja LocalCommandi direktiividele edastatud sisselogimis- ja hostinime väärtusi või metamärke (nt %u ja %h) sisaldavaid "match exec" plokke. Näiteks saab Gitis alammooduleid kasutavates süsteemides asendada vale sisselogimise ja hosti, kuna Git ei keela hosti- ja kasutajanimedes erimärkide määramist. Sarnane haavatavus ilmneb ka libssh-is.
- Ssh-agendis ilmnes viga, kus PKCS#11 privaatvõtmete lisamisel rakendati piiranguid ainult esimesele võtmele, mille PKCS#11 luba tagastas. Probleem ei mõjuta tavalisi privaatvõtmeid, FIDO märke ega piiramata võtmeid.
Muud muudatused:
- Lisati ssh-le asendus "%j", mis laieneb ProxyJump direktiivi kaudu määratud hostinimele.
- ssh on lisanud toe ChannelTimeouti seadistamiseks kliendi poolel, mida saab kasutada mitteaktiivsete kanalite lõpetamiseks.
- Lisati tugi ED25519 privaatvõtmete lugemiseks PEM PKCS8 vormingus ssh, sshd, ssh-add ja ssh-keygen jaoks (varem toetati ainult OpenSSH-vormingut).
- Protokollilaiendus on lisatud ssh-le ja sshd-le, et pärast kasutajanime saamist uuesti läbi rääkida avaliku võtmega autentimise digitaalallkirja algoritmid. Näiteks saate laienduse abil kasutada kasutajate suhtes valikuliselt muid algoritme, määrates plokis „Match user” PubkeyAcceptedAlgorithms.
- Lisati ssh-add ja ssh-agent protokollilaiendus sertifikaatide määramiseks PKCS#11 võtmete laadimisel, võimaldades PKCS#11 privaatvõtmetega seotud sertifikaate kasutada kõigis OpenSSH utiliitides, mis toetavad ssh-agenti, mitte ainult ssh-d.
- Täiustatud toetamata või ebastabiilsete kompilaatorilippude (nt "-fzero-call-used-regs") tuvastamine helises.
- Sshd-protsessi õiguste piiramiseks kasutavad Getpflags() liidest toetavad OpenSolarise versioonid PRIV_LIMIT asemel režiimi PRIV_XPOLICY.
Allikas: opennet.ru