Megjelent az OpenSSH 9.3 kiadása, amely az SSH 2.0 és SFTP protokollok feletti munkavégzéshez a kliens és szerver nyílt megvalósítása. Az új verzió a biztonsági problémákat javítja:
- Logikai hibát észleltek az ssh-add segédprogramban, ami miatt az intelligenskártya kulcsok ssh-agenthez való hozzáadásakor az "ssh-add -h" opcióval megadott korlátozások nem kerültek át az ügynöknek. Ennek eredményeként egy kulcs került az ügynökhöz, amelyre nem alkalmaztak olyan korlátozásokat, amelyek csak bizonyos gazdagépekről engedélyezték a kapcsolatokat.
- Az ssh segédprogramban egy biztonsági rést azonosítottak, amely adatok olvasását okozhatja a lefoglalt pufferen kívüli veremterületről a speciálisan kialakított DNS-válaszok feldolgozása során, ha a VerifyHostKeyDNS beállítás szerepel a konfigurációs fájlban. A probléma a getrrsetbyname() függvény beépített megvalósításában áll fenn, amelyet az OpenSSH hordozható változataiban használnak, amelyek külső ldns könyvtár (--with-ldns) használata nélkül készültek, valamint olyan szabványos könyvtárakkal rendelkező rendszereken, amelyek nem támogatják a getrrsetbyname függvényt. () hívás. A sérülékenység kihasználásának lehetősége – az ssh-ügyfél szolgáltatásmegtagadásának kezdeményezése kivételével – valószínűtlennek tekinthető.
Ezenkívül egy sérülékenység észlelhető az OpenBSD-hez tartozó libskey könyvtárban, amelyet az OpenSSH-ban használnak. A probléma 1997 óta fennáll, és puffertúlcsorduláshoz vezethet a veremben, amikor speciálisan kialakított gazdagépneveket dolgozunk fel. Megjegyzendő, hogy annak ellenére, hogy a sebezhetőség megnyilvánulása távolról is kezdeményezhető OpenSSH-n keresztül, a gyakorlatban a sérülékenység haszontalan, mivel a megnyilvánulásához a támadott gazdagép nevének (/etc/hostname) 126 karakternél többet kell tartalmaznia. és a puffer csak nullkódú karakterekkel ('\0') tölthető túl.
A nem biztonsági változtatások közül:
- A "-Ohashalg=sha1|sha256" paraméter támogatása hozzáadva az ssh-keygenhez és az ssh-keyscanhez az SSHFP-pillanatképek megjelenítéséhez szükséges algoritmus kiválasztásához.
- "-G" opció hozzáadva az sshd-hez az aktív konfiguráció elemzéséhez és megjelenítéséhez privát kulcsok betöltésének kísérlete és további ellenőrzések elvégzése nélkül, lehetővé téve a konfiguráció ellenőrzését a kulcs generálása előtt, és azt a nem jogosult felhasználók számára.
- Az sshd a seccomp és a seccomp-bpf rendszerhívásszűrési mechanizmusok segítségével továbbfejlesztette az elkülönítést a Linux platformon. Az mmap, madvise és futex jelzők hozzáadása az engedélyezett rendszerhívások listájához.
Forrás: opennet.ru