OpenSSH 9.6 шығарылымы, SSH 2.0 және SFTP хаттамалары арқылы жұмыс істеуге арналған клиент пен сервердің ашық іске асырылуы жарияланды. Жаңа нұсқа үш қауіпсіздік мәселесін түзетеді:
- SSH протоколындағы осалдық (CVE-2023-48795, «Terrapin» шабуылы), ол MITM шабуылына қауіпсіз емес аутентификация алгоритмдерін пайдалану үшін қосылымды кері қайтаруға және кідірістерді талдау арқылы енгізуді қайта жасайтын бүйірлік арна шабуылдарынан қорғауды өшіруге мүмкіндік береді. пернетақтадағы пернелерді басу арасында. Шабуыл әдісі бөлек жаңалықтар мақаласында сипатталған.
- Арнайы таңбаларды қамтитын логин мен хост мәндерін манипуляциялау арқылы ерікті қабық командаларын ауыстыруға мүмкіндік беретін ssh утилитасындағы осалдық. Егер шабуылдаушы ssh, ProxyCommand және LocalCommand директивтеріне жіберілген логин мен хост атауы мәндерін немесе %u және %h сияқты қойылмалы таңбаларды қамтитын «match exec» блоктарын басқарса, осалдықты пайдалануға болады. Мысалы, Git-те ішкі модульдерді пайдаланатын жүйелерде қате логин мен хостты ауыстыруға болады, өйткені Git хост пен пайдаланушы атауларында арнайы таңбаларды көрсетуге тыйым салмайды. Ұқсас осалдық libssh-те де пайда болады.
- ssh-агентінде қате болды, онда PKCS#11 жеке кілттерін қосқанда шектеулер PKCS#11 белгісімен қайтарылған бірінші кілтке ғана қолданылды. Мәселе кәдімгі жеке кілттерге, FIDO таңбалауыштарына немесе шектеусіз кілттерге әсер етпейді.
Басқа өзгерістер:
- ProxyJump директивасы арқылы көрсетілген хост атауына кеңейе отырып, ssh файлына "% j" ауыстыру қосылды.
- ssh белсенді емес арналарды тоқтату үшін пайдаланылуы мүмкін клиент жағында ChannelTimeout орнату үшін қолдауды қосты.
- PEM PKCS25519 пішіміндегі ED8 жеке кілттерін ssh, sshd, ssh-add және ssh-keygen (бұрын тек OpenSSH пішіміне қолдау көрсетілген) оқуға қолдау қосылды.
- Пайдаланушы атын алғаннан кейін ашық кілт аутентификациясы үшін цифрлық қолтаңба алгоритмдерін қайта келіссөздер жүргізу үшін ssh және sshd протоколдарына протокол кеңейтімі қосылды. Мысалы, кеңейтімді пайдалана отырып, «Пайдаланушыны сәйкестендіру» блогында PubkeyAcceptedAlgorithms көрсету арқылы пайдаланушыларға қатысты басқа алгоритмдерді таңдаулы түрде пайдалануға болады.
- PKCS#11 кілттерін жүктеген кезде сертификаттарды орнату үшін ssh-add және ssh-agent протокол кеңейтімі қосылды, бұл PKCS#11 жеке кілттерімен байланысты сертификаттарды тек ssh емес, ssh-agent қолдайтын барлық OpenSSH утилиталарында пайдалануға мүмкіндік береді.
- Clang-да "-fzero-call-used-regs" сияқты қолдау көрсетілмейтін немесе тұрақсыз компилятор жалауларын анықтау жақсартылған.
- Sshd процесінің артықшылықтарын шектеу үшін getpflags() интерфейсін қолдайтын OpenSolaris нұсқалары PRIV_LIMIT орнына PRIV_XPOLICY режимін пайдаланады.
Ақпарат көзі: opennet.ru