OpenSSH 9.6:n julkaisu on julkaistu SSH 2.0- ja SFTP-protokollia käyttävän asiakkaan ja palvelimen avoin toteutus. Uusi versio korjaa kolme tietoturvaongelmaa:
- SSH-protokollan haavoittuvuus (CVE-2023-48795, "Terrapin"-hyökkäys), jonka avulla MITM-hyökkäys voi peruuttaa yhteyden käyttääkseen vähemmän turvallisia todennusalgoritmeja ja poistaa suojauksen sivukanavahyökkäyksiltä, jotka luovat syötteen uudelleen analysoimalla viiveitä. näppäimistön näppäinpainallusten välillä. Hyökkäysmenetelmää kuvataan erillisessä uutisartikkelissa.
- Ssh-apuohjelman haavoittuvuus, joka mahdollistaa mielivaltaisten komentotulkkikomentojen korvaamisen manipuloimalla kirjautumis- ja isäntäarvoja, jotka sisältävät erikoismerkkejä. Haavoittuvuutta voidaan hyödyntää, jos hyökkääjä hallitsee ssh-, ProxyCommand- ja LocalCommand-komentoille välitettyjä kirjautumis- ja isäntänimen arvoja tai "match exec" -lohkoja, jotka sisältävät jokerimerkkejä, kuten %u ja %h. Väärä kirjautuminen ja isäntä voidaan esimerkiksi korvata järjestelmissä, jotka käyttävät alimoduuleja Gitissä, koska Git ei kiellä erikoismerkkien määrittämistä isäntä- ja käyttäjänimissä. Samanlainen haavoittuvuus näkyy myös libsshissa.
- Ssh-agentissa oli virhe, jossa PKCS#11-yksityisiä avaimia lisättäessä rajoituksia sovellettiin vain ensimmäiseen PKCS#11-tunnuksen palauttamaan avaimeen. Ongelma ei vaikuta tavallisiin yksityisiin avaimiin, FIDO-tunnuksiin tai rajoittamattomiin avaimiin.
Muut muutokset:
- Lisätty "%j"-korvaus ssh:hen, joka laajenee ProxyJump-direktiivin kautta määritettyyn isäntänimeen.
- ssh on lisännyt tuen ChannelTimeoutin asettamiseen asiakaspuolella, jota voidaan käyttää passiivisten kanavien lopettamiseen.
- Lisätty tuki ED25519:n yksityisten avainten lukemiseen PEM PKCS8 -muodossa ssh-, sshd-, ssh-add- ja ssh-keygen-muotoihin (aiemmin vain OpenSSH-muotoa tuettiin).
- Protokollalaajennus on lisätty ssh- ja sshd-sovelluksiin, jotta voidaan neuvotella uudelleen digitaalisen allekirjoituksen algoritmit julkisen avaimen todennusta varten, kun käyttäjätunnus on vastaanotettu. Esimerkiksi laajennusta käyttämällä voit käyttää valikoivasti muita algoritmeja suhteessa käyttäjiin määrittämällä PubkeyAcceptedAlgorithms Match user -lohkossa.
- Lisätty protokollalaajennus ssh-add- ja ssh-agent-agentteihin sertifikaattien asettamiseen PKCS#11-avaimia ladattaessa, jolloin PKCS#11-yksityisiin avaimiin liittyviä varmenteita voidaan käyttää kaikissa OpenSSH-apuohjelmissa, jotka tukevat ssh-agenttia, ei vain ssh:tä.
- Parannettu ei-tuettujen tai epävakaiden kääntäjien lippujen, kuten "-fzero-call-used-regs", havaitseminen klangissa.
- Sshd-prosessin oikeuksien rajoittamiseksi getpflags()-käyttöliittymää tukevat OpenSolaris-versiot käyttävät PRIV_XPOLICY-tilaa PRIV_LIMIT-tilan sijaan.
Lähde: opennet.ru