OpenSSH 9.3:n julkaisu on julkaistu SSH 2.0- ja SFTP-protokollia käyttävän asiakkaan ja palvelimen avoin toteutus. Uusi versio korjaa tietoturvaongelmat:
- Ssh-add-apuohjelmassa havaittiin looginen virhe, jonka vuoksi lisättäessä älykorttien avaimia ssh-agentiin "ssh-add -h" -vaihtoehdolla määritettyjä rajoituksia ei välitetty agentille. Tämän seurauksena agenttiin lisättiin avain, jolle ei sovellettu rajoituksia, mikä salli yhteydet vain tietyiltä isänniltä.
- Ssh-apuohjelmassa on havaittu haavoittuvuus, joka voi johtaa tietojen lukemiseen varatun puskurin ulkopuolelta pinoalueelta, kun käsitellään erityisesti muotoiltuja DNS-vastauksia, jos VerifyHostKeyDNS-asetus on otettu käyttöön määritystiedostossa. Ongelma on getrrsetbyname()-funktion sisäänrakennetussa toteutuksessa, jota käytetään OpenSSH:n kannettavissa versioissa, jotka on käännetty ilman ulkoista ldns-kirjastoa (-with-ldns) ja järjestelmissä, joissa on vakiokirjastot, jotka eivät tue getrrsetbyname( ) puhelu. Mahdollisuus haavoittuvuuden hyödyntämiseen muulla tavoin kuin ssh-asiakkaan palveluneston käynnistämiseksi on arvioitu epätodennäköiseksi.
Lisäksi voit huomata haavoittuvuuden OpenBSD:n sisältämässä libskey-kirjastossa, jota käytetään OpenSSH:ssa. Ongelma on ollut olemassa vuodesta 1997 ja voi aiheuttaa pinopuskurin ylivuodon, kun käsitellään erityisesti muotoiltuja isäntänimiä. On huomattava, että vaikka haavoittuvuuden ilmentyminen voidaan käynnistää etänä OpenSSH:n kautta, käytännössä haavoittuvuus on hyödytön, koska sen ilmentymiseksi hyökätyn isännän nimessä (/etc/hostname) on oltava enemmän kuin 126 merkkiä, ja puskuri voi olla täynnä vain merkkejä, joiden koodi on nolla ('\0').
Muut kuin turvallisuuteen liittyvät muutokset sisältävät:
- Lisätty tuki parametrille "-Ohashalg=sha1|sha256" ssh-keygeniin ja ssh-keyscaniin SSHFP-nugget-näyttöalgoritmin valitsemiseksi.
- sshd on lisännyt "-G"-vaihtoehdon aktiivisen kokoonpanon jäsentämiseksi ja näyttämiseksi yrittämättä ladata yksityisiä avaimia ja suorittamatta lisätarkastuksia. Sen avulla voit tarkistaa kokoonpanon vaiheessa ennen avainten luomista ja suorittaa tarkistuksen etuoikeutetuilta käyttäjiltä.
- sshd parantaa eristystä Linux-alustalla käyttämällä seccomp- ja seccomp-bpf-järjestelmäkutsujen suodatusmekanismeja. Mmapin, madvisen ja futexin liput on lisätty sallittujen järjestelmäkutsujen luetteloon.
Lähde: opennet.ru