De frijlitting fan OpenSSH 9.6 is publisearre, in iepen ymplemintaasje fan in kliïnt en tsjinner foar wurkjen mei de SSH 2.0- en SFTP-protokollen. De nije ferzje repareart trije feiligensproblemen:
- In kwetsberens yn it SSH-protokol (CVE-2023-48795, "Terrapin" oanfal), wêrtroch in MITM-oanfal de ferbining werom kin rôlje om minder feilige autentikaasjealgoritmen te brûken en beskerming útskeakelje tsjin side-kanaal oanfallen dy't ynfier opnij meitsje troch de fertragingen te analysearjen tusken toetsoanslagen op it toetseboerd. De oanfalmetoade wurdt beskreaun yn in apart nijsartikel.
- In kwetsberens yn it ssh-hulpprogramma dat ferfanging fan willekeurige shell-kommando's mooglik makket troch manipulaasje fan oanmeld- en hostwearden dy't spesjale karakters befetsje. De kwetsberens kin brûkt wurde as in oanfaller de oanmeld- en hostnamme-wearden kontrolearret dy't trochjûn wurde oan ssh-, ProxyCommand- en LocalCommand-rjochtlinen, of "match exec"-blokken dy't jokertekens befetsje lykas %u en %h. Ferkearde oanmelding en host kinne bygelyks ferfongen wurde yn systemen dy't submodules yn Git brûke, om't Git gjin spesjale tekens yn 'e host- en brûkersnammen ferbiedt. In ferlykbere kwetsberens ferskynt ek yn libssh.
- D'r wie in brek yn ssh-agent wêrby't, by it tafoegjen fan PKCS#11-privee-kaaien, beheiningen allinich tapast wurde op de earste kaai dy't weromjûn waard troch it PKCS#11-token. It probleem hat gjin ynfloed op reguliere privee kaaien, FIDO tokens, of ûnbeheinde kaaien.
Oare feroarings:
- "%j" substitúsje tafoege oan ssh, útwreidzjen yn de hostnamme oantsjutte fia de ProxyJump-rjochtline.
- ssh hat stipe tafoege foar it ynstellen fan ChannelTimeout op 'e kliïntside, dy't kin wurde brûkt om ynaktive kanalen te beëinigjen.
- Stipe tafoege foar it lêzen fan ED25519 privee kaaien yn PEM PKCS8-formaat oan ssh, sshd, ssh-add en ssh-keygen (earder waard allinich OpenSSH-formaat stipe).
- In protokol-útwreiding is tafoege oan ssh en sshd om algoritmen foar digitale hantekening opnij te ûnderhanneljen foar autentikaasje fan iepenbiere kaaien nei't de brûkersnamme ûntfongen is. Bygelyks, mei de tafoeging kinne jo selektyf oare algoritmen brûke yn relaasje ta brûkers troch PubkeyAcceptedAlgorithms op te jaan yn it blok "Oerienkomme mei brûker".
- In protokol-útwreiding tafoege oan ssh-add en ssh-agent om sertifikaten yn te stellen by it laden fan PKCS#11-kaaien, wêrtroch sertifikaten ferbûn mei PKCS#11 priveekaaien kinne wurde brûkt yn alle OpenSSH-helpprogramma's dy't ssh-agent stypje, net allinich ssh.
- Ferbettere deteksje fan net-stipe of ynstabile kompilerflaggen lykas "-fzero-call-used-regs" yn clang.
- Om de privileezjes fan it sshd-proses te beheinen, brûke ferzjes fan OpenSolaris dy't de getpflags()-ynterface stypje de PRIV_XPOLICY-modus ynstee fan PRIV_LIMIT.
Boarne: opennet.ru