ProHoster > Blog > nouvèl sou entènèt > Liberasyon OpenSSH 9.6 ak eliminasyon frajilite yo

Liberasyon OpenSSH 9.6 ak eliminasyon frajilite yo

Yo te pibliye liberasyon OpenSSH 9.6, yon aplikasyon ouvè nan yon kliyan ak sèvè pou travay lè l sèvi avèk SSH 2.0 ak pwotokòl SFTP. Nouvo vèsyon an rezoud twa pwoblèm sekirite:

  • Yon vilnerabilite nan pwotokòl SSH la (CVE-2023-48795, atak "Terrapin"), ki pèmèt yon atak MITM dewoule koneksyon an pou itilize algoritm otantifikasyon ki pa an sekirite epi enfim pwoteksyon kont atak chanèl bò ki rkree opinyon pa analize reta yo. ant touches sou klavye a. Metòd atak la dekri nan yon atik nouvèl apa.
  • Yon vilnerabilite nan sèvis piblik la ssh ki pèmèt sibstitisyon nan kòmandman koki abitrè atravè manipilasyon nan login ak valè lame ki gen karaktè espesyal. Kapab eksplwate vilnerabilite a si yon atakè kontwole valè login ak non host yo pase nan direktiv ssh, ProxyCommand ak LocalCommand, oswa blòk "match exec" ki gen karaktè joker tankou %u ak %h. Pou egzanp, koneksyon kòrèk ak lame ka ranplase nan sistèm ki itilize submodul nan Git, paske Git pa entèdi espesifye karaktè espesyal nan lame a ak non itilizatè. Yon vilnerabilite menm jan an parèt tou nan libssh.
  • Te gen yon ensèk nan ssh-agent kote, lè yo te ajoute kle prive PKCS#11, yo te aplike restriksyon sèlman nan premye kle siy PKCS#11 la te retounen. Pwoblèm nan pa afekte kle prive regilye yo, siy FIDO, oswa kle san restriksyon.

Lòt chanjman:

  • Te ajoute "%j" sibstitisyon nan ssh, elaji nan non host la espesifye atravè direktiv la ProxyJump.
  • ssh te ajoute sipò pou mete ChannelTimeout sou bò kliyan an, ki ka itilize pou mete fen nan chanèl inaktif yo.
  • Te ajoute sipò pou lekti kle prive ED25519 nan fòma PEM PKCS8 nan ssh, sshd, ssh-add ak ssh-keygen (anvan yo te sipòte sèlman fòma OpenSSH).
  • Yo te ajoute yon ekstansyon pwotokòl nan ssh ak sshd pou renegosye algoritm siyati dijital pou otantifikasyon kle piblik apre yo fin resevwa non itilizatè a. Pou egzanp, lè l sèvi avèk ekstansyon an, ou ka selektivman itilize lòt algoritm an relasyon ak itilizatè yo lè w espesifye PubkeyAcceptedAlgorithms nan blòk la "Match itilizatè".
  • Te ajoute yon ekstansyon pwotokòl nan ssh-add ak ssh-agent pou mete sètifika lè w ap chaje kle PKCS#11, sa ki pèmèt sètifika ki asosye ak kle prive PKCS#11 yo dwe itilize nan tout sèvis piblik OpenSSH ki sipòte ssh-agent, pa sèlman ssh.
  • Amelyore deteksyon drapo konpilatè ki pa sipòte oswa ki enstab tankou "-fzero-call-used-regs" nan clang.
  • Pou limite privilèj pwosesis sshd la, vèsyon OpenSolaris ki sipòte koòdone getpflags() itilize mòd PRIV_XPOLICY olye de PRIV_LIMIT.

Sous: opennet.ru

Add nouvo kòmantè