Apre sis mwa nan devlopman, lage OpenSSH 8.9, yon aplikasyon ouvè nan yon kliyan ak sèvè pou travay sou SSH 2.0 ak pwotokòl SFTP, yo prezante. Nouvo vèsyon sshd ranje yon vilnerabilite ki kapab pèmèt aksè san otantifikasyon. Pwoblèm nan koze pa yon debòde nonb antye relatif nan kòd otantifikasyon an, men li ka sèlman eksplwate nan konbinezon ak lòt erè ki lojik nan kòd la.
Nan fòm li ye kounye a, vilnerabilite a pa kapab eksplwate lè mòd separasyon privilèj yo aktive, paske manifestasyon li yo bloke pa chèk separe ki fèt nan kòd swivi separasyon privilèj la. Mòd separasyon privilèj yo te aktive pa default depi 2002 depi OpenSSH 3.2.2, e li te obligatwa depi liberasyon OpenSSH 7.5 ki te pibliye an 2017. Anplis de sa, nan vèsyon pòtab nan OpenSSH kòmanse ak lage 6.5 (2014), vilnerabilite a bloke pa konpilasyon ak enklizyon drapo pwoteksyon nonb antye relatif debòde.
Lòt chanjman:
- Vèsyon pòtab nan OpenSSH nan sshd te retire sipò natif natal pou hashing modpas lè l sèvi avèk algorithm MD5 (ki pèmèt lyen ak bibliyotèk ekstèn tankou libxcrypt pou retounen).
- ssh, sshd, ssh-add, ak ssh-agent aplike yon subsistèm pou mete restriksyon sou voye ak itilizasyon kle ki ajoute nan ssh-agent. Sousistèm nan pèmèt ou mete règ ki detèmine ki jan ak ki kote kle yo ka itilize nan ssh-agent. Pa egzanp, pou ajoute yon kle ki ka itilize sèlman pou otantifye nenpòt itilizatè ki konekte ak host scylla.example.org, itilizatè a Perseus nan host cetus.example.org, ak itilizatè medea nan host charybdis.example.org. ak redireksyon atravè yon lame entèmedyè scylla.example.org, ou ka itilize lòd sa a: $ ssh-add -h "[imèl pwoteje]" \ -h "scylla.example.org" \ -h "scylla.example.org>[imèl pwoteje]\ ~/.ssh/id_ed25519
- Nan ssh ak sshd, yo te ajoute yon algorithm ibrid pa default nan lis KexAlgorithms, ki detèmine lòd nan ki metòd echanj kle yo chwazi.[imèl pwoteje]"(ECDH/x25519 + NTRU Prime), rezistan a seleksyon sou òdinatè pwopòsyon. Nan OpenSSH 8.9, yo te ajoute metòd negosyasyon sa a ant metòd ECDH ak DH, men li te planifye yo dwe aktive pa default nan pwochen vèsyon an.
- ssh-keygen, ssh, ak ssh-agent te amelyore manyen kle siy FIDO yo itilize pou verifikasyon aparèy, ki gen ladan kle pou otantifikasyon byometrik.
- Te ajoute kòmandman "ssh-keygen -Y match-principals" nan ssh-keygen pou tcheke non itilizatè yo nan fichye lis moun ki pèmèt yo.
- ssh-add ak ssh-agent bay kapasite pou ajoute kle FIDO ki pwoteje pa yon kòd PIN nan ssh-agent (demann PIN la parèt nan moman otantifikasyon an).
- ssh-keygen pèmèt chwa pou algorithm hashing (sha512 oswa sha256) pandan jenerasyon siyati.
- Nan ssh ak sshd, pou amelyore pèfòmans, done rezo yo li dirèkteman nan tanpon pake k ap fèk ap rantre yo, kontourne tanpon entèmedyè sou pil la. Plasman dirèk done yo resevwa nan yon tanpon chanèl aplike nan yon fason menm jan an.
- Nan ssh, direktiv PubkeyAuthentication te elaji lis paramèt sipòte (wi|non|unbound|host-bound) pou bay kapasite pou chwazi ekstansyon pwotokòl pou itilize.
Nan yon lage nan lavni, nou planifye chanje default nan sèvis piblik la scp yo sèvi ak SFTP olye pou yo eritaj SCP/RCP pwotokòl la. SFTP itilize metòd manyen non plis previzib epi li pa sèvi ak pwosesis koki nan modèl glob nan non dosye sou bò lòt lame a, ki kreye pwoblèm sekirite. An patikilye, lè w ap itilize SCP ak RCP, sèvè a deside ki fichye ak repèrtwar yo voye bay kliyan an, epi kliyan an sèlman tcheke kòrèkteman nan non objè yo retounen, ki, nan absans la nan chèk apwopriye sou bò kliyan an, pèmèt la. sèvè pou transfere lòt non fichye ki diferan de sa yo mande yo. Pwotokòl SFTP a pa gen pwoblèm sa yo, men li pa sipòte ekspansyon chemen espesyal tankou "~/". Pou adrese diferans sa a, yo te pwopoze yon nouvo ekstansyon nan pwotokòl SFTP nan lage anvan OpenSSH nan aplikasyon sèvè SFTP pou elaji chemen ~/ ak ~ itilizatè/.
Sous: opennet.ru