OpenSSH 9.3 bertsioa argitaratu da, SSH 2.0 eta SFTP protokoloak erabiliz lan egiteko bezero eta zerbitzari baten inplementazio irekia. Bertsio berriak segurtasun arazoak konpontzen ditu:
- Errore logiko bat detektatu da ssh-add utilitatean, eta, ondorioz, ssh-agent-era txartel adimendunen gakoak gehitzean, "ssh-add -h" aukera erabiliz zehaztutako murrizketak ez zaizkio agenteari pasatu. Ondorioz, agenteari gako bat gehitu zitzaion, eta horretarako ez zen murrizketarik aplikatu, ostalari jakin batzuetatik soilik konexioak ahalbidetuz.
- Ssh utilitatean ahultasun bat identifikatu da, esleitutako bufferetik kanpo pila-eremuko datuak irakurtzera ekar dezakeena formateatutako DNS erantzunak prozesatzen direnean, konfigurazio fitxategian VerifyHostKeyDNS ezarpena gaituta badago. Arazoa getrrsetbyname() funtzioaren inplementazioan dago, kanpoko ldns liburutegia erabili gabe (-with-ldns) eta getrrsetbyname() onartzen ez duten liburutegi estandarrak dituzten sistemetan erabiltzen den OpenSSH bertsio eramangarrietan. ) deitu. Zaurgarritasuna ustiatzeko aukera, ssh bezeroari zerbitzua ukatzeaz gain, nekez baloratzen da.
Gainera, OpenBSD-n barne dagoen libskey liburutegian ahultasun bat nabari dezakezu, OpenSSH-n erabiltzen dena. Arazoa 1997tik dago eta pila-buffer gainezka sor dezake formateatutako ostalari-izenak prozesatzen direnean. Kontuan izan da ahultasunaren agerpena OpenSSH bidez urrunetik abiarazi daitekeen arren, praktikan ahultasuna ez da ezertarako balio, izan ere, agertzeko, erasotutako ostalariaren izenak (/etc/hostname) baino gehiago eduki behar du. 126 karaktere, eta buffer-a zero kodea duten karaktereez gainezka egon daiteke ('\0').
Segurtasunaz kanpoko aldaketak honako hauek dira:
- "-Ohashalg=sha1|sha256" parametrorako laguntza gehitu da ssh-keygen eta ssh-keyscan SSHFP nugget bistaratzeko algoritmoa hautatzeko.
- sshd-k "-G" aukera bat gehitu du konfigurazio aktiboa analizatzeko eta bistaratzeko, gako pribatuak kargatzen saiatu gabe eta egiaztapen gehigarririk egin gabe, eta horrek aukera ematen dizu konfigurazioa egiaztatzeko gakoak sortu baino lehen eta pribilegiorik gabeko erabiltzaileek egiaztatzea exekutatzeko.
- sshd-k Linux plataforman isolamendua hobetzen du seccomp eta seccomp-bpf sistema-deiak iragazteko mekanismoak erabiliz. Onartutako sistema-deien zerrendara mmap, madvise eta futex-en banderak gehitu dira.
Iturria: opennet.ru