Avaldatud on OpenSSH 9.8 väljalase, mis on kliendi ja serveri avatud rakendus SSH 2.0 ja SFTP protokollidega töötamiseks. Lisaks eraldi välja kuulutatud kriitilise haavatavuse (CVE-2024-6387) parandamisele, mis võimaldab eelautentimise etapis juurõigustega koodi kaugkäivitamist, parandab uus versioon veel ühe vähem ohtliku haavatavuse ja pakub välja mitmeid olulisi muudatusi, mille eesmärk on parandada turvalisust.
Teine haavatavus võimaldab teil mööda minna OpenSSH 9.5-s lisatud kaitsest külgkanalite rünnakute vastu, mis analüüsivad sisendi taasloomiseks klaviatuuri klahvivajutuste vahelisi viivitusi. See haavatavus võimaldab meil eristada pakette, mis tekitavad taustategevust, simuleerides fiktiivseid klahvivajutusi pakettidest, mis saadetakse reaalsete klahvide vajutamisel, mis vähendab ssh-i liikluses interaktiivse sisendi funktsioonide peitmise mehhanismi tõhusust. Klahvivajutuste andmed võimaldavad ründeid, mis taasloovad sisendit, analüüsides tippimise ajal klahvivajutuste vahelisi viivitusi, mis sõltuvad klahvide paigutusest klaviatuuril (näiteks vastus tähe “F” sisestamisel on kiirem kui “Q” või “ X”, nii et vajutamine nõuab vähem sõrme liigutamist).
Lisaks selgus, et realiseeritud ja fiktiivsete klikkidega pakettide saatmise algoritm vähendas teise külgkanalite rünnakute eest kaitsmise meetodi usaldusväärsust. Alates vabastamisest
OpenSSH 2.9.9 server отправлял пакеты с фиктивными нажатиями для консольного ввода в режиме echo-off, используемом, например, при вводе паролей в su или sudo. Новая логика отправки фиктивных пакетов позволяла при пассивном анализе трафика выделять пакеты с реальными нажатиями в режиме echo-off для их отдельного анализа. При этом точность сведений о времени нажатий ограничивается, так как после набора пакеты отправляются не сразу, а через фиксированные промежутки времени (по умолчанию 20 мс).
Muud muudatused versioonis OpenSSH 9.8:
- Koostamisetapis on DSA-algoritmil põhinevate digitaalallkirjade tugi vaikimisi keelatud. DSA juurutus eemaldatakse koodibaasist 2025. aasta alguses. Kustutamise põhjuseks tuuakse DSA kaitsetase, mis ei vasta tänapäevastele nõuetele. Ebaturvalise DSA-algoritmi jätkamise kulud ei ole seda väärt ja selle eemaldamine soodustab DSA-toe aegumist teistes SSH-rakendustes ja krüptograafilistes teekides.
- Suure hulga sshd-ühenduste nõudvate ärakasutamismeetodite eest täiendavaks kaitsmiseks on rakendatud uus kaitserežiim, mis on vaikimisi lubatud. See režiim aitab blokeerida ka automaatseid parooliarvamisrünnakuid, mille puhul robotid üritavad kasutaja parooli ära arvata, proovides erinevaid tüüpilisi kombinatsioone. See kaitse rakendatakse blokeerimise kaudu. IP-aadressid, mis salvestab suure hulga ebaõnnestunud ühenduse katseid, jälgib sshd tütarprotsesside lõpetamise olekut, tuvastades olukordi, kus autentimine ebaõnnestus või protsess lõpetati krahhi tõttu ebanormaalselt. Kui teatud lävi ületatakse, hakkab see blokeerima probleemsete IP-aadresside või alamvõrkude päringuid. Blokeerimisläve, blokeeritava alamvõrgu maski ja välistamisloendi konfigureerimiseks on saadaval parameetrid PerSourcePenalties, PerSourceNetBlockSize ja PerSourcePenaltyExemptList.
- sshd on jagatud mitmeks eraldi käivitatavaks failiks. Sshd-seansi protsess eraldatakse sshd-st, et täita seansi töötlemisega seotud ülesandeid. Sshd-protsess säilitab funktsioonid, mis vastutavad võrguühenduste vastuvõtmise, konfiguratsioonide kontrollimise, hostivõtmete laadimise ja käivitusprotsesside haldamise eest vastavalt MaxStartupsi parameetrile. Seega sisaldab sshd täitmisfail nüüd minimaalset funktsionaalsust, mis on vajalik uue võrguühenduse vastuvõtmiseks ja seansi haldamiseks sshd-seansi käivitamiseks.
- Mõne logisse kirjutatud veateate tekst on muutunud. Täpsemalt, mitu sõnumit saadetakse nüüd protsessi "sshd-session" nime all, mitte "sshd" nime all.
- Utiliit ssh-keyscan väljastab nüüd protokolli versiooni ja hostinime teabe standardvoogu, mitte STDERR-i. Väljundi keelamiseks soovitatakse suvandit “-q”.
- Ssh-s on HostkeyAlgorithms direktiivi kaudu võimalik keelata tagasipööramine hostivõtme sertifikaadi kasutamisest tavaliste hostivõtmete kasutamisele.
- Sshd kaasaskantav versioon ei kasuta enam PAM-i teenuse nime määramiseks väärtust argv[0]. PAM-teenuse nime määramiseks on lahtrisse sshd_config lisatud uus käsk „PAMServiceName”, mis on vaikimisi seatud väärtusele „sshd”.
- Sshd kaasaskantav versioon tagab, et automaatselt genereeritud failid (skripti seadistamine, config.h.in jne) salvestatakse Giti harusse koos väljalasetega (näiteks V_9_8), mis võimaldas sünkroonida digitaalselt allkirjastatud tari koostist. arhiivid ja filiaalid Gitis.
- Ssh ja ssh-agendi kaasaskantav versioon pakub režiimi seadistust
SSH_ASKPASS keskkonnamuutuja WAYLAND_DISPLAY juuresolekul, sarnaselt sellele, kuidas X11 puhul seda tehti keskkonnamuutuja DISPLAY juuresolekul. - Sshd kaasaskantav versioon lisab tuge teadete saatmiseks systemd-le, kui kuulamisvõrgu pesa luuakse või taaskäivitatakse, kasutades eraldiseisvat koodi, mis ei kutsu libsystemdi teeki.
Allikas: opennet.ru
