Nei seis moannen fan ûntwikkeling waard de frijlitting fan OpenSSH 8.9, in iepen client- en server-ymplemintaasje foar wurkjen oer de SSH 2.0- en SFTP-protokollen, presintearre. De nije ferzje fan sshd reparearret in kwetsberens dy't mooglik net-autentikearre tagong talitte kin. It probleem wurdt feroarsake troch in heule getal oerstreaming yn 'e autentikaasjekoade, mar kin allinich brûkt wurde yn kombinaasje mei oare logyske flaters yn' e koade.
Yn syn hjoeddeistige foarm kin de kwetsberens net eksploitearre wurde as de privileezjeskiedingmodus ynskeakele is, om't syn manifestaasje blokkearre wurdt troch aparte kontrôles útfierd yn 'e privileezjeskieding trackingkoade. Privilege-skiedingsmodus is standert ynskeakele sûnt 2002 sûnt OpenSSH 3.2.2, en is ferplicht sûnt de frijlitting fan OpenSSH 7.5 publisearre yn 2017. Derneist, yn draachbere ferzjes fan OpenSSH begjinnend mei release 6.5 (2014), wurdt de kwetsberens blokkearre troch kompilaasje mei it opnimmen fan flaggen foar beskerming fan heule getal oerstream.
Oare feroarings:
- De draachbere ferzje fan OpenSSH yn sshd hat native stipe foar it hashen fan wachtwurden fuortsmiten mei it MD5-algoritme (wêrtroch keppeling mei eksterne biblioteken lykas libxcrypt werom kin).
- ssh, sshd, ssh-add, en ssh-agent implementearje in subsysteem om it trochstjoeren en gebrûk fan kaaien te beheinen taheakke oan ssh-agent. It subsysteem lit jo regels ynstelle dy't bepale hoe en wêr't kaaien kinne wurde brûkt yn ssh-agent. Bygelyks om in kaai ta te foegjen dy't allinich brûkt wurde kin om elke brûker te ferifiearjen dy't ferbûn is mei de host scylla.example.org, de brûker perseus oan de host cetus.example.org, en de brûker medea oan de host charybdis.example.org mei trochferwizing fia in tuskenhost scylla.example.org kinne jo it folgjende kommando brûke: $ ssh-add -h "[e-post beskerme]" \ -h "scylla.example.org" \ -h "scylla.example.org>[e-post beskerme]\ ~/.ssh/id_ed25519
- Yn ssh en sshd is standert in hybride algoritme tafoege oan 'e KexAlgorithms-list, dy't de folchoarder bepaalt wêryn kaai-útwikselmetoaden selektearre wurde.[e-post beskerme]"(ECDH/x25519 + NTRU Prime), resistint foar seleksje op kwantumkompjûters. Yn OpenSSH 8.9 waard dizze ûnderhannelingsmetoade tafoege tusken de ECDH- en DH-metoaden, mar it is pland om standert yn 'e folgjende release te aktivearjen.
- ssh-keygen, ssh, en ssh-agent hawwe ferbettere ôfhanneling fan FIDO token-kaaien brûkt foar apparaatferifikaasje, ynklusyf kaaien foar biometryske autentikaasje.
- Tafoege "ssh-keygen -Y match-principals" kommando oan ssh-keygen om brûkersnammen te kontrolearjen yn it tastiene nammelistbestân.
- ssh-add en ssh-agent jouwe de mooglikheid om FIDO-kaaien ta te foegjen dy't beskerme binne troch in PIN-koade oan ssh-agent (it PIN-fersyk wurdt werjûn op it momint fan autentikaasje).
- ssh-keygen lit de kar fan hashing-algoritme (sha512 of sha256) by it generearjen fan hântekening.
- Yn ssh en sshd, om de prestaasjes te ferbetterjen, wurde netwurkgegevens direkt yn 'e buffer fan ynkommende pakketten lêzen, troch tuskenlizzende buffering op 'e stapel te omgean. Direkte pleatsing fan de ûntfongen gegevens yn in kanaal buffer wurdt útfierd op in fergelykbere wize.
- Yn ssh hat de PubkeyAuthentication-rjochtline de list mei stipe parameters útwreide (ja|nee|ûnbûn|host-bûn) om de mooglikheid te jaan om de protokol-útwreiding te selektearjen om te brûken.
Yn in takomstige release planje wy de standert fan it scp-hulpprogramma te feroarjen om SFTP te brûken ynstee fan it legacy SCP/RCP-protokol. SFTP brûkt mear foarsisber nammen ôfhanneljen metoaden en brûkt gjin shell ferwurking fan glob patroanen yn triemnammen oan de oare host syn kant, dat soarget foar feiligens problemen. Yn it bysûnder, by it brûken fan SCP en RCP, de tsjinner beslút hokker triemmen en mappen te stjoeren nei de klant, en de klant kontrolearret allinnich de krektens fan de weromjûn objektnammen, dy't, by it ûntbrekken fan goede kontrôles oan de kliïnt kant, lit de tsjinner om oare bestânsnammen oer te dragen dy't ferskille fan dy frege. It SFTP-protokol hat dizze problemen net, mar stipet net de útwreiding fan spesjale paden lykas "~/". Om dit ferskil oan te pakken, waard in nije útwreiding foar it SFTP-protokol foarsteld yn 'e foarige release fan OpenSSH yn' e ymplemintaasje fan 'e SFTP-tsjinner om de paden ~/ en ~user/ út te wreidzjen.
Boarne: opennet.ru