Publicouse a versión de OpenSSH 9.6, unha implementación aberta dun cliente e servidor para traballar usando os protocolos SSH 2.0 e SFTP. A nova versión soluciona tres problemas de seguridade:
- Unha vulnerabilidade no protocolo SSH (CVE-2023-48795, ataque "Terrapin"), que permite que un ataque MITM revoque a conexión para usar algoritmos de autenticación menos seguros e desactive a protección contra ataques de canle lateral que recrean a entrada analizando os atrasos entre pulsacións de teclas no teclado. O método de ataque descríbese nun artigo de noticias separado.
- Unha vulnerabilidade na utilidade ssh que permite a substitución de comandos de shell arbitrarios mediante a manipulación de valores de inicio de sesión e servidor que conteñen caracteres especiais. A vulnerabilidade pódese explotar se un atacante controla os valores de inicio de sesión e nome de host pasados ás directivas ssh, ProxyCommand e LocalCommand, ou bloques "match exec" que conteñan caracteres comodíns como %u e %h. Por exemplo, un inicio de sesión e un servidor incorrectos pódense substituír nos sistemas que usan submódulos en Git, xa que Git non prohibe especificar caracteres especiais nos nomes de host e usuario. Unha vulnerabilidade similar tamén aparece en libssh.
- Houbo un erro en ssh-agent onde, ao engadir chaves privadas PKCS#11, as restricións só se aplicaban á primeira clave devolta polo token PKCS#11. O problema non afecta ás claves privadas habituais, aos tokens FIDO ou ás claves sen restricións.
Outros cambios:
- Engadiuse a substitución "%j" a ssh, expandíndose ao nome de host especificado mediante a directiva ProxyJump.
- ssh engadiu soporte para configurar ChannelTimeout no lado do cliente, que se pode usar para finalizar as canles inactivas.
- Engadiuse compatibilidade para ler as claves privadas ED25519 en formato PEM PKCS8 para ssh, sshd, ssh-add e ssh-keygen (anteriormente só se admitía o formato OpenSSH).
- Engadiuse unha extensión de protocolo a ssh e sshd para renegociar os algoritmos de sinatura dixital para a autenticación de chave pública despois de recibir o nome de usuario. Por exemplo, usando a extensión, pode usar selectivamente outros algoritmos en relación aos usuarios especificando PubkeyAcceptedAlgorithms no bloque "Coincidir usuario".
- Engadiuse unha extensión de protocolo a ssh-add e ssh-agent para establecer certificados ao cargar chaves PKCS#11, permitindo que os certificados asociados coas chaves privadas PKCS#11 se utilicen en todas as utilidades OpenSSH que admitan ssh-agent, non só ssh.
- Mellorouse a detección de marcas do compilador non compatibles ou inestables como "-fzero-call-used-regs" en clang.
- Para limitar os privilexios do proceso sshd, as versións de OpenSolaris que admiten a interface getpflags() usan o modo PRIV_XPOLICY en lugar de PRIV_LIMIT.
Fonte: opennet.ru