De frijlitting fan OpenSSH 9.8 is publisearre, in iepen ymplemintaasje fan in kliïnt en server foar wurkjen mei de SSH 2.0- en SFTP-protokollen. Neist it reparearjen fan in apart oankundige krityske kwetsberens (CVE-2024-6387), wêrtroch útfiering fan koade op ôfstân mei root-privileezjes yn 'e pre-autentikaasjestadium mooglik makket, reparearret de nije ferzje in oare minder gefaarlike kwetsberens en stelt ferskate wichtige feroarings foar dy't rjochte binne op it ferbetterjen fan feiligens.
De twadde kwetsberens lit jo de beskerming dy't tafoege is yn OpenSSH 9.5 tsjin side-kanaal oanfallen omgean dy't de fertragingen analysearje tusken toetsoanslaggen op it toetseboerd om de ynfier opnij te meitsjen. De kwetsberens lit ús ûnderskiede pakketten dy't eftergrûnaktiviteit meitsje troch fiktive toetsoanslaggen te simulearjen fan pakketten dy't ferstjoerd wurde as echte toetsen yndrukt wurde, wat de effektiviteit fan it meganisme fermindert foar it ferbergjen fan funksjes fan ynteraktive ynfier yn ferkear yn ssh. Toetsoanslaggegevens meitsje oanfallen mooglik dy't ynfier opnij meitsje troch it analysearjen fan de fertragingen tusken toetsoanslaggen by it typen, dy't ôfhinklik binne fan 'e yndieling fan 'e toetsen op it toetseboerd (bygelyks is de reaksje by it typen fan de letter "F" flugger dan by it typen fan "Q" of " X", sadat drukken minder fingerbeweging fereasket).
Dêrnjonken die bliken dat it ymplementearre algoritme foar it ferstjoeren fan pakketten mei echte en fiktive klikken de betrouberens fan in oare metoade fan beskerming tsjin side-kanaal oanfallen fermindere. Sûnt frijlitting
OpenSSH 2.9.9 server ferstjoerde pakketten mei dummy-toetsoanslagen foar konsole-ynfier yn echo-off-modus, brûkt bygelyks by it ynfieren fan wachtwurden yn su of sudo. De nije logika foar it ferstjoeren fan dummy-pakketten makke it mooglik foar passive ferkearsanalyse om pakketten mei echte toetsoanslagen te isolearjen yn echo-off-modus foar aparte analyze. De krektens fan 'e ynformaasje oer de toetsoanslagtiming is lykwols beheind, om't nei it typen de pakketten net fuortendaliks ferstjoerd wurde, mar mei fêste yntervallen (standert 20 ms).
Oare feroaringen yn OpenSSH 9.8:
- Op it boustadium is stipe foar digitale hantekeningen basearre op it DSA-algoritme standert útskeakele. De DSA-ymplemintaasje sil begjin 2025 fan 'e koadebasis fuortsmiten wurde. De reden foar wiskjen wurdt oanhelle as it nivo fan beskerming yn DSA dat net foldocht oan moderne easken. De kosten om troch te gean mei it ûnderhâlden fan in ûnfeilich DSA-algoritme is it net wurdich, en it fuortheljen dêrfan sil it ôfskriuwing fan DSA-stipe yn oare SSH-ymplemintaasjes en kryptografyske bibleteken stimulearje.
- Om fierder te beskermjen tsjin eksploitaasjemetoaden dy't in grut oantal ferbiningen mei sshd fereaskje, is in nije beskermingsmodus ymplementearre en standert ynskeakele. Dizze modus helpt ek by it blokkearjen fan automatyske wachtwurdrieden-oanfallen, wêrby't bots besykje it wachtwurd fan in brûker te rieden troch ferskate typyske kombinaasjes te besykjen. Dizze beskerming wurdt ymplementearre troch blokkearjen. IP-adressen, dy't in grut oantal mislearre ferbiningspogingen registrearje, kontrolearret sshd de beëinigingsstatus fan ûnderprosessen, en detektearret situaasjes wêr't autentikaasje mislearre is of it proses abnormaal beëinige is fanwegen in crash. As in bepaalde drompel oerskreden wurdt, begjint it oanfragen fan problematyske IP's of subnetten te blokkearjen. De parameters PerSourcePenalties, PerSourceNetBlockSize, en PerSourcePenaltyExemptList binne beskikber foar it konfigurearjen fan de blokkeardrompel, it te blokkearjen subnetmasker, en de útslutingslist.
- sshd is opdield yn ferskate aparte útfierbere triemmen. It sshd-sesjeproses wurdt tawiisd fan sshd om taken út te fieren yn ferbân mei sesjeferwurking. It sshd-proses behâldt funksjes ferantwurdlik foar it akseptearjen fan netwurkferbiningen, it kontrolearjen fan konfiguraasjes, it laden fan hostkaaien en it behearen fan opstartprosessen yn oerienstimming mei de parameter MaxStartups. Sa befettet de sshd-útfierbere no de minimale funksjonaliteit dy't nedich is om in nije netwurkferbining te akseptearjen en sshd-sesje te begjinnen om de sesje te behanneljen.
- De tekst fan guon flaterberjochten skreaun yn it log is feroare. Benammen in oantal berjochten wurde no ferstjoerd ûnder de namme fan it "sshd-sesje" proses ynstee fan "sshd".
- It ssh-keyscan-hulpprogramma jout no protokolferzje en hostnamme-ynformaasje út nei standertstream ynstee fan STDERR. Om de útfier út te skeakeljen, wurdt de opsje "-q" foarsteld.
- Yn ssh is it mooglik om it weromdraaien út te skeakeljen fan it brûken fan in hostkaaisertifikaat nei it brûken fan gewoane hostkaaien fia de HostkeyAlgorithms-rjochtline.
- De draachbere ferzje fan sshd brûkt de wearde argv[0] net mear om de namme fan de PAM-tsjinst te bepalen. Om de namme fan 'e PAM-tsjinst yn te stellen, is in nije rjochtline "PAMServiceName" tafoege oan sshd_config, dy't standert is ynsteld op "sshd".
- De draachbere ferzje fan sshd soarget derfoar dat automatysk oanmakke bestannen (skript konfigurearje, config.h.in, ensfh.) wurde opslein yn in Git-tûke mei releases (bygelyks V_9_8), dy't it mooglik makken om de gearstalling fan digitaal ûndertekene tar te syngronisearjen argiven en filialen yn Git.
- De draachbere ferzje fan ssh en ssh-agent biedt modusynstelling
SSH_ASKPASS yn 'e oanwêzigens fan' e omjouwingsfariabele WAYLAND_DISPLAY, fergelykber mei hoe't foar X11 dit dien waard yn 'e oanwêzigens fan' e DISPLAY omjouwingsfariabele. - De draachbere ferzje fan sshd foeget stipe ta foar it ferstjoeren fan notifikaasjes nei systemd as in harkjende netwurk-socket wurdt oanmakke of opnij starte, mei help fan standalone koade dy't de libsystemd-bibleteek net neamt.
Boarne: opennet.ru
