OpenSSH 9.6 bertsioa argitaratu da, SSH 2.0 eta SFTP protokoloak erabiliz lan egiteko bezero eta zerbitzari baten inplementazio irekia. Bertsio berriak hiru segurtasun arazo konpontzen ditu:
- SSH protokoloko ahultasun bat (CVE-2023-48795, βTerrapinβ erasoa), MITM eraso bati konexioa atzera egiteko aukera ematen dio autentifikazio algoritmo seguruak erabiltzeko eta atzerapenak aztertuz sarrera birsortzen duten albo kanaleko erasoen aurkako babesa desgaitzeko. teklatuko teklatu artean . Eraso metodoa aparteko albiste batean deskribatzen da.
- Ssh erabilgarritasunaren ahultasun bat shell komando arbitrarioak ordezkatzea ahalbidetzen duena, karaktere bereziak dituzten saio-hasiera eta ostalariaren balioak manipulatuz. Ahultasuna ustiatu daiteke erasotzaile batek ssh, ProxyCommand eta LocalCommand zuzentarauetara edo %u eta %h bezalako komodin karaktereak dituzten "match exec" blokeak kontrolatzen baditu. Adibidez, saio-hasiera eta ostalari okerrak ordezka daitezke Git-en azpimoduluak erabiltzen dituzten sistemetan, Git-ek ez baitu debekatzen ostalari eta erabiltzaile-izenetan karaktere bereziak zehaztea. Antzeko ahultasun bat ere agertzen da libssh-en.
- Akats bat egon zen ssh-agent-en, non, PKCS#11 gako pribatuak gehitzean, murrizketak PKCS#11 tokenak itzulitako lehen gakoari soilik aplikatu zitzaizkion. Arazoak ez die eragiten ohiko gako pribatuei, FIDO tokenei edo mugarik gabeko gakoei.
Beste aldaketa batzuk:
- "%j" ordezkapena gehitu da ssh-ra, ProxyJump zuzentarauaren bidez zehaztutako ostalari-izenera zabalduz.
- ssh-k bezeroaren aldetik ChannelTimeout ezartzeko laguntza gehitu du, kanal inaktiboak amaitzeko erabil daitekeena.
- ED25519 gako pribatuak PEM PKCS8 formatuan irakurtzeko laguntza gehitu da ssh, sshd, ssh-add eta ssh-keygen (lehen OpenSSH formatua bakarrik onartzen zen).
- Protokolo-luzapena gehitu da ssh eta sshd-i gako publikoaren autentifikaziorako sinadura digitalaren algoritmoak berriro negoziatzeko, erabiltzaile-izena jaso ondoren. Esaterako, luzapena erabiliz, beste algoritmo batzuk erabil ditzakezu erabiltzaileei dagokienez, PubkeyAcceptedAlgorithms zehaztuz "Erabiltzailea bat etortzea" blokean.
- Ssh-add eta ssh-agent protokolo-luzapen bat gehitu da PKCS#11 gakoak kargatzean ziurtagiriak ezartzeko, PKCS#11 gako pribatuekin lotutako ziurtagiriak ssh-agent onartzen duten OpenSSH utilitate guztietan erabiltzeko aukera emanez, ez ssh bakarrik.
- Clang-en "-fzero-call-used-regs" bezalako konpiladore-markak onartzen ez diren edo ezegonkorrak hautematea hobetu da.
- Sshd prozesuaren pribilegioak mugatzeko, getpflags() interfazea onartzen duten OpenSolaris-en bertsioek PRIV_XPOLICY modua erabiltzen dute PRIV_LIMIT beharrean.
Iturria: opennet.ru