OpenSSH 9.2 のリリースが公開されました。これは、SSH 2.0 および SFTP プロトコルを使用して動作するクライアントとサーバーのオープン実装です。 新しいバージョンでは、認証前の段階でメモリの二重解放につながる脆弱性が解消されています。 OpenSSH 9.1 リリースのみが影響を受けます。この問題は以前のバージョンでは発生しません。
脆弱性が現れる条件を作成するには、SSH クライアントのバナーを「SSH-2.0-FuTTYSH_9.1p1」に変更して、SSH のバージョンに応じて「SSH_BUG_CURVE25519PAD」および「SSH_OLD_DHGEX」フラグを設定するだけで十分です。クライアント。 これらのフラグを設定した後、「options.kex_algorithms」バッファのメモリは 2 回解放されます - compat_kex_proposal() を呼び出す do_ssh2_kex() 関数の実行時と、input_userauth_request()、mm_getpwnamallow() を呼び出す do_authenticationXNUMX() 関数の実行時です。 )、チェーンに沿った copy_set_server_options()、assemble_algorithms()、kex_assemble_names()。
悪用プロセスが複雑すぎるため、この脆弱性を有効に利用できるエクスプロイトが作成される可能性は低いと考えられます。最新のメモリ割り当てライブラリは、メモリの二重解放に対する保護を提供しており、エラーが存在する事前認証プロセスは、隔離された環境で低い権限で実行されます。サンドボックス環境。
指摘された脆弱性に加えて、新しいリリースではさらに XNUMX つのセキュリティ問題も修正されています。
- 「PermitRemoteOpen」設定の処理中にエラーが発生しました。最初の引数が「any」および「none」の値と異なる場合は無視されます。 この問題は OpenSSH 8.7 より新しいバージョンで発生し、権限が XNUMX つだけ指定されている場合にチェックがスキップされます。
- CanonicalizeHostname および CanonicalizePermittedCNAMEs オプションが構成で有効になっており、システム リゾルバーがその正確性をチェックしない場合、名前解決に使用される DNS サーバーを制御する攻撃者は、known_hosts ファイルに特殊文字 (「*」など) を置き換えることができます。 DNS サーバーからの応答。 返される名前は CanonicalizePermittedCNAMEs で指定された条件と一致する必要があるため、攻撃の可能性は低いと考えられます。
その他の変更:
- コマンド ラインを提供する "~C" エスケープ シーケンスのクライアント側の処理を有効にするかどうかを制御するための EnableEscapeCommandline 設定が ssh の ssh_config に追加されました。 デフォルトでは、より厳密なサンドボックス分離を使用するために「~C」処理が無効になり、実行時のポート転送に「~C」を使用するシステムが破壊される可能性があります。
- ChannelTimeout ディレクティブが sshd の sshd_config に追加され、チャネルの非アクティブ タイムアウトを設定します (ディレクティブで指定された時間にわたってトラフィックが記録されなかったチャネルは自動的に閉じられます)。 セッション、X11、エージェント、トラフィック リダイレクトに対して異なるタイムアウトを設定できます。
- UnusedConnectionTimeout ディレクティブが sshd の sshd_config に追加され、一定期間アクティブなチャネルがなかったクライアント接続を終了するためのタイムアウトを設定できるようになりました。
- SSH クライアントの同様のオプションと同様に、バージョンを表示するための「-V」オプションが sshd に追加されました。
- 「ssh -G」の出力に「Host」という行を追加し、ホスト名引数の値を反映しました。
- コピー バッファ サイズや保留中のリクエストの数などの SFTP プロトコル パラメータを制御するために、「-X」オプションが scp および sftp に追加されました。
- ssh-keyscan を使用すると、完全な CIDR アドレス範囲 (たとえば、「ssh-keyscan 192.168.0.0/24」) のスキャンが可能になります。
出所: オープンネット.ru