Kuuden kuukauden kehitystyön jälkeen esiteltiin OpenSSH 8.9, avoin asiakas- ja palvelintoteutus SSH 2.0- ja SFTP-protokollien yli työskentelyyn. Uusi sshd-versio korjaa haavoittuvuuden, joka saattaa mahdollistaa todentamattoman käytön. Ongelma johtuu kokonaislukujen ylivuodosta todennuskoodissa, mutta sitä voidaan hyödyntää vain yhdessä muiden koodin loogisten virheiden kanssa.
Nykyisessä muodossaan haavoittuvuutta ei voida hyödyntää, kun etuoikeuksien erottelutila on käytössä, koska sen ilmeneminen estetään erillisillä oikeuksien erottelun seurantakoodissa suoritetuilla tarkistuksilla. Etuoikeuserottelutila on ollut oletuksena käytössä vuodesta 2002 lähtien OpenSSH 3.2.2:sta lähtien, ja se on ollut pakollinen vuonna 7.5 julkaistun OpenSSH 2017:n julkaisusta lähtien. Lisäksi OpenSSH:n kannettavissa versioissa julkaisusta 6.5 (2014) alkaen haavoittuvuus on estetty käännöksellä, joka sisältää kokonaislukujen ylivuotosuojalippuja.
Muut muutokset:
- OpenSSH:n kannettava versio sshd:ssä on poistanut alkuperäisen tuen salasanojen hajauttamiselle MD5-algoritmilla (jotka mahdollistavat linkittämisen ulkoisiin kirjastoihin, kuten libxcryptiin).
- ssh, sshd, ssh-add ja ssh-agent toteuttavat alijärjestelmän rajoittamaan ssh-agentiin lisättyjen avainten edelleenlähetystä ja käyttöä. Alijärjestelmän avulla voit asettaa sääntöjä, jotka määrittävät kuinka ja missä avaimia voidaan käyttää ssh-agentissa. Voit esimerkiksi lisätä avaimen, jota voidaan käyttää vain todentamaan kaikki käyttäjät, jotka muodostavat yhteyden isäntään scylla.example.org, käyttäjä perseus isäntään cetus.example.org ja käyttäjä medea isäntään charybdis.example.org uudelleenohjauksessa väliisäntäkoneen scylla.example.org kautta, voit käyttää seuraavaa komentoa: $ ssh-add -h "[sähköposti suojattu]" \ -h "scylla.example.org" \ -h "scylla.example.org>[sähköposti suojattu]\ ~/.ssh/id_ed25519
- Ssh:ssä ja sshd:ssä KexAlgorithms-luetteloon on oletuksena lisätty hybridialgoritmi, joka määrittää järjestyksen, jossa avaintenvaihtomenetelmät valitaan.[sähköposti suojattu]"(ECDH/x25519 + NTRU Prime), kestää valintaa kvanttitietokoneissa. OpenSSH 8.9:ssä tämä neuvottelumenetelmä lisättiin ECDH- ja DH-menetelmien välille, mutta se on tarkoitus ottaa oletuksena käyttöön seuraavassa julkaisussa.
- ssh-keygen, ssh ja ssh-agent ovat parantaneet laitteen todentamiseen käytettyjen FIDO-tunnusavainten käsittelyä, mukaan lukien biometrisen todennuksen avaimet.
- Lisätty "ssh-keygen -Y match-principals" -komento ssh-keygeniin tarkistaaksesi käyttäjänimet sallittunimilistatiedostossa.
- ssh-add ja ssh-agent tarjoavat mahdollisuuden lisätä PIN-koodilla suojattuja FIDO-avaimia ssh-agentiin (PIN-pyyntö näytetään todennuksen yhteydessä).
- ssh-keygen mahdollistaa hajautusalgoritmin (sha512 tai sha256) valinnan allekirjoituksen luomisen aikana.
- Suorituskyvyn parantamiseksi ssh:ssä ja sshd:ssä verkkotiedot luetaan suoraan saapuvien pakettien puskuriin ohittaen pinon välipuskuroinnin. Vastaanotetun datan suora sijoittaminen kanavapuskuriin toteutetaan samalla tavalla.
- ssh:ssa PubkeyAuthentication-direktiivi on laajentanut tuettujen parametrien luetteloa (yes|no|unbound|host-bound) antaakseen mahdollisuuden valita käytettävä protokollalaajennus.
Tulevassa julkaisussa aiomme muuttaa scp-apuohjelman oletusasetuksen käyttämään SFTP:tä vanhan SCP/RCP-protokollan sijaan. SFTP käyttää ennakoitavampia nimenkäsittelymenetelmiä eikä käytä glob-kuvioiden shell-käsittelyä tiedostonimien toisen isäntäpuolen puolella, mikä aiheuttaa tietoturvaongelmia. Erityisesti SCP:tä ja RCP:tä käytettäessä palvelin päättää, mitkä tiedostot ja hakemistot lähetetään asiakkaalle, ja asiakas tarkistaa vain palautettujen objektinimien oikeellisuuden, mikä asiakaspuolen asianmukaisten tarkistusten puuttuessa mahdollistaa palvelin siirtää muita tiedostonimiä, jotka poikkeavat pyydetyistä. SFTP-protokollalla ei ole näitä ongelmia, mutta se ei tue erikoispolkujen, kuten "~/", laajentamista. Tämän eron korjaamiseksi edellinen OpenSSH-julkaisu esitteli uuden SFTP-protokollalaajennuksen ~/- ja ~user/-poluille SFTP-palvelimen toteutuksessa.
Lähde: opennet.ru