Հրապարակվել է OpenSSH 9.3-ի թողարկումը, որը հաճախորդի և սերվերի բաց ներդրում է SSH 2.0 և SFTP արձանագրությունների վրա աշխատելու համար: Նոր տարբերակը շտկում է անվտանգության խնդիրները.
- ssh-add կոմունալում հայտնաբերվել է տրամաբանական սխալ, որի պատճառով ssh-agent-ին խելացի քարտի բանալիներ ավելացնելիս «ssh-add -h» տարբերակով նշված սահմանափակումները չեն փոխանցվել գործակալին։ Արդյունքում գործակալին ավելացվել է բանալի, որի համար չեն կիրառվել սահմանափակումներ, որոնք թույլ են տալիս միացումներ միայն որոշակի հոսթներից։
- Հայտնաբերվել է խոցելիություն ssh կոմունալում, որը կարող է հանգեցնել տվյալների ընթերցմանը հատկացված բուֆերից դուրս գտնվող կույտի տարածքից՝ հատուկ մշակված DNS պատասխանները մշակելիս, եթե VerifyHostKeyDNS պարամետրը ներառված է կազմաձևման ֆայլում: Խնդիրն առկա է getrrsetbyname() ֆունկցիայի ներկառուցված իրականացման մեջ, որն օգտագործվում է OpenSSH-ի շարժական տարբերակներում, որոնք կառուցվել են առանց արտաքին ldns գրադարանի (--with-ldns) օգտագործման և ստանդարտ գրադարաններով համակարգերում, որոնք չեն աջակցում getrrsetbyname-ը: () զանգ. Խոցելիության շահագործման հնարավորությունը, բացի ssh հաճախորդի համար ծառայությունից հրաժարվելու նախաձեռնումից, գնահատվում է որպես անհավանական:
Բացի այդ, խոցելիություն կարելի է նկատել OpenBSD-ում ներառված libskey գրադարանում, որն օգտագործվում է OpenSSH-ում: Խնդիրը առկա է 1997 թվականից և կարող է հանգեցնել բուֆերի գերհոսքի բուրգի վրա, երբ մշակվում են հատուկ մշակված հոսթների անունները: Նշվում է, որ չնայած այն հանգամանքին, որ խոցելիության դրսևորումը կարող է սկսվել հեռակա կարգով OpenSSH-ի միջոցով, գործնականում խոցելիությունն անօգուտ է, քանի որ դրա դրսևորման համար հարձակման ենթարկված հոսթի անունը (/etc/hostname) պետք է պարունակի ավելի քան 126 նիշ, իսկ բուֆերը կարող է լցվել միայն զրոյական կոդով նիշերով ('\0'):
Ոչ անվտանգության փոփոխությունների թվում.
- Ավելացվել է «-Ohashalg=sha1|sha256» պարամետրի աջակցությունը ssh-keygen-ին և ssh-keyscan-ին՝ SSHFP-ի նկարները ցուցադրելու ալգորիթմ ընտրելու համար:
- Ավելացվել է «-G» տարբերակը sshd-ին՝ ակտիվ կոնֆիգուրացիան վերլուծելու և ցուցադրելու համար՝ առանց անձնական բանալիները բեռնելու փորձի և առանց լրացուցիչ ստուգումներ կատարելու՝ թույլ տալով, որ կոնֆիգուրացիան ստուգվի նախքան բանալիների ստեղծումը և գործարկվի ոչ արտոնյալ օգտվողների կողմից:
- sshd-ն ուժեղացրել է մեկուսացումը Linux հարթակում՝ օգտագործելով seccomp և seccomp-bpf համակարգերի զանգերի զտման մեխանիզմները: Համակարգային թույլատրված զանգերի ցանկում դրոշներ են ավելացվել mmap-ին, madvise-ին և futex-ին:
Source: opennet.ru