Nakon šest mjeseci razvoja, predstavljeno je izdanje OpenSSH 8.9, otvorene klijentske i poslužiteljske implementacije za rad preko SSH 2.0 i SFTP protokola. Nova verzija sshd-a ispravlja ranjivost koja potencijalno može omogućiti neovlašteni pristup. Problem je uzrokovan prekoračenjem cijelog broja u autentifikacijskom kodu, ali se može iskoristiti samo u kombinaciji s drugim logičkim pogreškama u kodu.
U svom trenutnom obliku, ranjivost se ne može iskoristiti kada je omogućen način odvajanja privilegija, budući da je njezina manifestacija blokirana zasebnim provjerama koje se izvode u kodu za praćenje odvajanja privilegija. Način odvajanja privilegija omogućen je prema zadanim postavkama od 2002. od OpenSSH 3.2.2, a obavezan je od izdanja OpenSSH 7.5 objavljenog 2017. Osim toga, u prijenosnim verzijama OpenSSH-a počevši od izdanja 6.5 (2014.), ranjivost je blokirana kompilacijom uz uključivanje zastavica zaštite od prekoračenja cijelog broja.
Ostale promjene:
- Prijenosna verzija OpenSSH-a u sshd-u uklonila je izvornu podršku za raspršivanje lozinki korištenjem MD5 algoritma (dopuštajući povratak povezivanja s vanjskim bibliotekama kao što je libxcrypt).
- ssh, sshd, ssh-add i ssh-agent implementiraju podsustav za ograničavanje prosljeđivanja i upotrebe ključeva dodanih ssh-agentu. Podsustav vam omogućuje postavljanje pravila koja određuju kako i gdje se ključevi mogu koristiti u ssh-agentu. Na primjer, za dodavanje ključa koji se može koristiti samo za provjeru autentičnosti bilo kojeg korisnika koji se spaja na host scylla.example.org, korisnika perseus na host cetus.example.org i korisnika medea na host charybdis.example.org s preusmjeravanjem kroz posredni host scylla.example.org, možete koristiti sljedeću naredbu: $ ssh-add -h "[e-pošta zaštićena]" \ -h "scylla.example.org" \ -h "scylla.example.org>[e-pošta zaštićena]\ ~/.ssh/id_ed25519
- U ssh i sshd, hibridni algoritam je prema zadanim postavkama dodan na popis KexAlgorithms, koji određuje redoslijed odabira metoda razmjene ključeva.[e-pošta zaštićena]"(ECDH/x25519 + NTRU Prime), otporan na selekciju na kvantnim računalima. U OpenSSH 8.9 ova je metoda pregovaranja dodana između ECDH i DH metoda, ali planira se da bude omogućena prema zadanim postavkama u sljedećem izdanju.
- ssh-keygen, ssh i ssh-agent poboljšali su rukovanje ključevima FIDO tokena koji se koriste za provjeru uređaja, uključujući ključeve za biometrijsku autentifikaciju.
- Dodana je naredba "ssh-keygen -Y match-principals" u ssh-keygen za provjeru korisničkih imena u datoteci s popisom dozvoljenih imena.
- ssh-add i ssh-agent pružaju mogućnost dodavanja FIDO ključeva zaštićenih PIN kodom u ssh-agent (PIN zahtjev se prikazuje u trenutku autentifikacije).
- ssh-keygen omogućuje odabir algoritma raspršivanja (sha512 ili sha256) tijekom generiranja potpisa.
- U ssh i sshd, radi poboljšanja performansi, mrežni podaci se čitaju izravno u međuspremnik dolaznih paketa, zaobilazeći međuspremnik na stogu. Izravno postavljanje primljenih podataka u međuspremnik kanala provodi se na sličan način.
- U ssh-u je direktiva PubkeyAuthentication proširila popis podržanih parametara (yes|no|unbound|host-bound) kako bi omogućila odabir proširenja protokola za korištenje.
U budućem izdanju planiramo promijeniti zadane postavke uslužnog programa scp tako da koristi SFTP umjesto naslijeđenog SCP/RCP protokola. SFTP koristi predvidljivije metode rukovanja imenima i ne koristi shell obradu glob uzoraka u imenima datoteka na strani drugog hosta, što stvara sigurnosne probleme. Konkretno, kada koristite SCP i RCP, poslužitelj odlučuje koje će datoteke i direktorije poslati klijentu, a klijent samo provjerava ispravnost vraćenih imena objekata, što, u nedostatku odgovarajućih provjera na strani klijenta, omogućuje poslužitelj za prijenos drugih naziva datoteka koji se razlikuju od traženih. SFTP protokol nema tih problema, ali ne podržava proširenje posebnih staza kao što je “~/”. Kako bi se riješila ova razlika, prethodno izdanje OpenSSH-a uvelo je novo proširenje SFTP protokola za ~/ i ~user/ staze u implementaciji SFTP poslužitelja.
Izvor: opennet.ru