Թողարկվել է OpenSSH 9.3-ը, որը հաճախորդի և սերվերի բաց կոդով իրականացում է SSH 2.0 և SFTP արձանագրությունների միջոցով աշխատելու համար։ Նոր տարբերակը շտկում է անվտանգության հետ կապված հետևյալ խնդիրները.
- ssh-add օգտակար ծրագրում հայտնաբերվել է տրամաբանական սխալ, որի պատճառով ssh-agent-ին խելացի քարտերի համար բանալիներ ավելացնելիս գործակալին չեն անցել «ssh-add -h» տարբերակով սահմանված սահմանափակումները։ Արդյունքում, գործակալին ավելացվեց բանալի, որը չուներ սահմանափակումներ, որոնք թույլ էին տալիս միացումներ միայն որոշակի հոսթերից։
- Ssh օգտակար ծրագրում հայտնաբերվել է խոցելիություն, որը կարող է հանգեցնել տվյալների ընթերցման հատկացված բուֆերից դուրս գտնվող սթեքի տարածքից՝ հատուկ մշակված DNS պատասխանները մշակելիս, եթե VerifyHostKeyDNS կարգավորումը միացված է կարգավորման ֆայլում։ Խնդիրը առկա է getrrsetbyname() ֆունկցիայի ներկառուցված իրականացման մեջ, որն օգտագործվում է OpenSSH-ի շարժական տարբերակներում, որոնք կառուցված են առանց արտաքին ldns գրադարանի (--with-ldns) օգտագործման, և ստանդարտ գրադարաններ ունեցող համակարգերում, որոնք չեն աջակցում getrrsetbyname() ֆունկցիայի կանչը։ SSH հաճախորդի սպասարկման մերժում նախաձեռնելուց բացի այլ կերպ խոցելիությունն օգտագործելու հնարավորությունը գնահատվում է որպես անհավանական։
Բացի այդ, OpenBSD-ում ներառված libskey գրադարանում կա խոցելիություն, որն օգտագործվում է OpenSSH-ում։ Այս խնդիրը գոյություն ունի 1997 թվականից ի վեր և կարող է հանգեցնել բուֆերի գերբեռնվածության՝ հատուկ մշակված հոսթնամների հետ աշխատելիս։ Նշվում է, որ չնայած այն հանգամանքին, որ խոցելիությունը կարող է հեռակա կարգով ակտիվացվել OpenSSH-ի միջոցով, գործնականում խոցելիությունն անօգուտ է, քանի որ դրա դրսևորման համար հարձակվող հոսթի անունը (/etc/hostname) պետք է պարունակի ավելի քան 126 նիշ, իսկ բուֆերը կարող է լցվել միայն զրոյական կոդով նիշերով («\0»):
Ոչ անվտանգության փոփոխությունների թվում.
- ssh-keygen-ը և ssh-keyscan-ը այժմ աջակցում են "-Ohashalg=sha1|sha256" պարամետրը՝ SSHFP մատնահետքերի ցուցադրման ալգորիթմը ընտրելու համար։
- sshd-ն այժմ ունի «-G» տարբերակ՝ ակտիվ կոնֆիգուրացիան վերլուծելու և ցուցադրելու համար՝ առանց մասնավոր բանալիները բեռնելու կամ լրացուցիչ ստուգումներ կատարելու փորձի, թույլ տալով կոնֆիգուրացիայի ստուգում բանալու ստեղծումից առաջ և թույլ տալով արտոնություններ չունեցող օգտատերերին իրականացնել ստուգումը։
- sshd-ն բարելավել է հարթակի մեկուսացումը Linux, որն օգտագործում է seccomp և seccomp-bpf համակարգային կանչերի զտման մեխանիզմները: Թույլատրված համակարգային կանչերի ցանկին ավելացվել են mmap, madvise և futex դրոշակներ:
Source: opennet.ru
