ProHoster > Blog > Interneteko albisteak > OpenSSH 9.6 kaleratzea ahultasunak ezabatuz

OpenSSH 9.6 kaleratzea ahultasunak ezabatuz

OpenSSH 9.6 bertsioa argitaratu da, SSH 2.0 eta SFTP protokoloak erabiliz lan egiteko bezero eta zerbitzari baten inplementazio irekia. Bertsio berriak hiru segurtasun arazo konpontzen ditu:

  • SSH protokoloko ahultasun bat (CVE-2023-48795, β€œTerrapin” erasoa), MITM eraso bati konexioa atzera egiteko aukera ematen dio autentifikazio algoritmo seguruak erabiltzeko eta atzerapenak aztertuz sarrera birsortzen duten albo kanaleko erasoen aurkako babesa desgaitzeko. teklatuko teklatu artean . Eraso metodoa aparteko albiste batean deskribatzen da.
  • Ssh erabilgarritasunaren ahultasun bat shell komando arbitrarioak ordezkatzea ahalbidetzen duena, karaktere bereziak dituzten saio-hasiera eta ostalariaren balioak manipulatuz. Ahultasuna ustiatu daiteke erasotzaile batek ssh, ProxyCommand eta LocalCommand zuzentarauetara edo %u eta %h bezalako komodin karaktereak dituzten "match exec" blokeak kontrolatzen baditu. Adibidez, saio-hasiera eta ostalari okerrak ordezka daitezke Git-en azpimoduluak erabiltzen dituzten sistemetan, Git-ek ez baitu debekatzen ostalari eta erabiltzaile-izenetan karaktere bereziak zehaztea. Antzeko ahultasun bat ere agertzen da libssh-en.
  • Akats bat egon zen ssh-agent-en, non, PKCS#11 gako pribatuak gehitzean, murrizketak PKCS#11 tokenak itzulitako lehen gakoari soilik aplikatu zitzaizkion. Arazoak ez die eragiten ohiko gako pribatuei, FIDO tokenei edo mugarik gabeko gakoei.

Beste aldaketa batzuk:

  • "%j" ordezkapena gehitu da ssh-ra, ProxyJump zuzentarauaren bidez zehaztutako ostalari-izenera zabalduz.
  • ssh-k bezeroaren aldetik ChannelTimeout ezartzeko laguntza gehitu du, kanal inaktiboak amaitzeko erabil daitekeena.
  • ED25519 gako pribatuak PEM PKCS8 formatuan irakurtzeko laguntza gehitu da ssh, sshd, ssh-add eta ssh-keygen (lehen OpenSSH formatua bakarrik onartzen zen).
  • Protokolo-luzapena gehitu da ssh eta sshd-i gako publikoaren autentifikaziorako sinadura digitalaren algoritmoak berriro negoziatzeko, erabiltzaile-izena jaso ondoren. Esaterako, luzapena erabiliz, beste algoritmo batzuk erabil ditzakezu erabiltzaileei dagokienez, PubkeyAcceptedAlgorithms zehaztuz "Erabiltzailea bat etortzea" blokean.
  • Ssh-add eta ssh-agent protokolo-luzapen bat gehitu da PKCS#11 gakoak kargatzean ziurtagiriak ezartzeko, PKCS#11 gako pribatuekin lotutako ziurtagiriak ssh-agent onartzen duten OpenSSH utilitate guztietan erabiltzeko aukera emanez, ez ssh bakarrik.
  • Clang-en "-fzero-call-used-regs" bezalako konpiladore-markak onartzen ez diren edo ezegonkorrak hautematea hobetu da.
  • Sshd prozesuaren pribilegioak mugatzeko, getpflags() interfazea onartzen duten OpenSolaris-en bertsioek PRIV_XPOLICY modua erabiltzen dute PRIV_LIMIT beharrean.

Iturria: opennet.ru

Gehitu iruzkin berria