Tha sgaoileadh OpenSSH 9.6 air fhoillseachadh, buileachadh fosgailte de neach-dèiligidh agus frithealaiche airson a bhith ag obair a 'cleachdadh protocols SSH 2.0 agus SFTP. Tha an dreach ùr a’ fuasgladh trì cùisean tèarainteachd:
- So-leòntachd anns a’ phròtacal SSH (CVE-2023-48795, ionnsaigh “Terrapin”), a leigeas le ionnsaigh MITM an ceangal a thoirt air ais gus algoirmean dearbhaidh nach eil cho tèarainte a chleachdadh agus dìon a chuir à comas an aghaidh ionnsaighean taobh-seanail a bhios ag ath-chruthachadh cuir a-steach le bhith a’ sgrùdadh na dàil eadar keystrokes air a’ mheur-chlàr . Tha an dòigh ionnsaigh air a mhìneachadh ann an artaigil naidheachd air leth.
- So-leòntachd anns a ’ghoireas ssh a leigeas le òrdughan slige neo-riaghailteach a chuir an àite tro bhith a’ làimhseachadh luachan logadh a-steach agus aoigheachd anns a bheil caractaran sònraichte. Faodar brath a ghabhail air an so-leòntachd ma bhios neach-ionnsaigh a’ cumail smachd air na luachan logadh a-steach agus ainm òstair a thèid seachad air stiùiridhean ssh, ProxyCommand agus LocalCommand, no blocaichean “match exec” anns a bheil caractaran cairt fiadhaich leithid % u agus % h. Mar eisimpleir, faodar logadh a-steach agus aoigheachd ceàrr a chuir na àite ann an siostaman a bhios a’ cleachdadh fo-mhodalan ann an Git, leis nach eil Git a’ toirmeasg caractaran sònraichte a shònrachadh anns an òstair agus ainmean luchd-cleachdaidh. Tha so-leòntachd coltach ris cuideachd a’ nochdadh ann an libssh.
- Bha buga ann an ssh-agent far an deach, nuair a chaidh iuchraichean prìobhaideach PKCS#11 a chur ris, nach deach cuingeachaidhean a chuir an sàs ach air a’ chiad iuchair a chaidh a thilleadh leis an tòcan PKCS#11. Chan eil a’ chùis a’ toirt buaidh air iuchraichean prìobhaideach cunbhalach, comharran FIDO, no iuchraichean gun bhacadh.
Atharraichean eile:
- Chuir sinn ionadachadh “%j” ri ssh, a’ leudachadh gu ainm an òstair a chaidh a shònrachadh tron stiùireadh ProxyJump.
- Tha ssh air taic a chuir ris airson a bhith a’ suidheachadh ChannelTimeout air taobh an neach-dèiligidh, a dh’ fhaodar a chleachdadh gus seanalan neo-ghnìomhach a thoirt gu crìch.
- Taic a bharrachd airson iuchraichean prìobhaideach ED25519 a leughadh ann an cruth PEM PKCS8 gu ssh, sshd, ssh-add agus ssh-keygen (roimhe seo cha robh taic ach ri cruth OpenSSH).
- Chaidh leudachadh protocol a chur ri ssh agus sshd gus algoirmean ainm sgrìobhte didseatach ath-rèiteachadh airson dearbhadh iuchraichean poblach às deidh don ainm-cleachdaidh fhaighinn. Mar eisimpleir, a’ cleachdadh an leudachaidh, faodaidh tu algorithms eile a chleachdadh gu roghnach a thaobh luchd-cleachdaidh le bhith a’ sònrachadh PubkeyAcceptedAlgorithms anns a’ bhloc “Match user”.
- Chuir sinn leudachadh protocol ri ssh-add agus ssh-agent gus teisteanasan a shuidheachadh nuair a bhios tu a’ luchdachadh iuchraichean PKCS#11, a’ leigeil le teisteanasan co-cheangailte ri iuchraichean prìobhaideach PKCS #11 a chleachdadh anns a h-uile goireas OpenSSH a bheir taic do ssh-agent, chan e dìreach ssh.
- Lorgadh nas fheàrr air brataichean cruinneachaidh neo-sheasmhach leithid “-fzero-call-used-regs” ann an clang.
- Gus sochairean a’ phròiseas sshd a chuingealachadh, cleachdaidh tionndaidhean de OpenSolaris a bheir taic don eadar-aghaidh getpflags() am modh PRIV_XPOLICY an àite PRIV_LIMIT.
Source: fosgailtenet.ru