SSHD의 취약점을 제거한 OpenSSH 8.9 출시

8.9개월 간의 개발 끝에 SSH 2.0 및 SFTP 프로토콜을 통한 작업을 위한 개방형 클라이언트 및 서버 구현인 OpenSSH XNUMX가 출시되었습니다. 새로운 버전의 sshd는 잠재적으로 인증되지 않은 액세스를 허용할 수 있는 취약점을 수정합니다. 이 문제는 인증 코드의 정수 오버플로로 인해 발생하지만 코드의 다른 논리적 오류와 결합해서만 악용될 수 있습니다.

현재 형태에서는 권한 분리 추적 코드에서 수행되는 별도의 검사를 통해 해당 취약점의 발현이 차단되므로 권한 분리 모드가 활성화된 경우 취약점을 악용할 수 없습니다. 권한 분리 모드는 2002년 OpenSSH 3.2.2부터 기본적으로 활성화되었으며, 7.5년 공개된 OpenSSH 2017 릴리스부터 필수였습니다. 또한 릴리스 6.5(2014)부터 휴대용 버전의 OpenSSH에서는 정수 오버플로 방지 플래그를 포함하는 컴파일을 통해 취약점이 차단됩니다.

기타 변경 사항:

• sshd에 있는 OpenSSH의 휴대용 버전은 MD5 알고리즘을 사용한 비밀번호 해싱에 대한 기본 지원을 제거했습니다(libxcrypt와 같은 외부 라이브러리와의 링크 반환 허용).
• ssh, sshd, ssh-add 및 ssh-agent는 ssh-agent에 추가된 키의 전달 및 사용을 제한하는 하위 시스템을 구현합니다. 하위 시스템을 사용하면 ssh-agent에서 키를 사용할 수 있는 방법과 위치를 결정하는 규칙을 설정할 수 있습니다. 예를 들어 호스트 scylla.example.org에 연결하는 모든 사용자, 호스트 cetus.example.org에 사용자 perseus, 호스트 charybdis.example.org에 사용자 medea를 인증하는 데만 사용할 수 있는 키를 추가하려면 중간 호스트 scylla.example.org를 통한 리디렉션을 사용하면 다음 명령을 사용할 수 있습니다: $ ssh-add -h "[이메일 보호]" \ -h "scylla.example.org" \ -h "scylla.example.org>[이메일 보호]\ ~/.ssh/id_ed25519
• ssh 및 sshd에서는 키 교환 방법이 선택되는 순서를 결정하는 하이브리드 알고리즘이 기본적으로 KexAlgorithms 목록에 추가되었습니다.[이메일 보호]"(ECDH/x25519 + NTRU Prime), 양자 컴퓨터에서 선택에 저항합니다. OpenSSH 8.9에서는 이 협상 방법이 ECDH와 DH 방법 사이에 추가되었지만 다음 릴리스에서는 기본적으로 활성화될 예정입니다.
• ssh-keygen, ssh 및 ssh-agent에서는 생체 인증용 키를 포함하여 장치 확인에 사용되는 FIDO 토큰 키 처리가 개선되었습니다.
• allowednamelist 파일에서 사용자 이름을 확인하기 위해 ssh-keygen에 "ssh-keygen -Y match-principals" 명령을 추가했습니다.
• ssh-add 및 ssh-agent는 PIN 코드로 보호되는 FIDO 키를 ssh-agent에 추가하는 기능을 제공합니다(인증 시 PIN 요청이 표시됨).
• ssh-keygen을 사용하면 서명 생성 중에 해싱 알고리즘(sha512 또는 sha256)을 선택할 수 있습니다.
• ssh 및 sshd에서는 성능 향상을 위해 네트워크 데이터를 스택의 중간 버퍼링을 우회하여 수신 패킷의 버퍼로 직접 읽습니다. 수신된 데이터를 채널 버퍼에 직접 배치하는 것도 비슷한 방식으로 구현됩니다.
• SSH에서 PubkeyAuthentication 지시문은 사용할 프로토콜 확장을 선택하는 기능을 제공하기 위해 지원되는 매개변수 목록(yes|no|unbound|host-bound)을 확장했습니다.

향후 릴리스에서는 레거시 SCP/RCP 프로토콜 대신 SFTP를 사용하도록 scp 유틸리티의 기본값을 변경할 계획입니다. SFTP는 보다 예측 가능한 이름 처리 방법을 사용하고 상대 호스트 측의 파일 이름에 glob 패턴의 쉘 처리를 사용하지 않으므로 보안 문제가 발생합니다. 특히, SCP 및 RCP를 사용할 때 서버는 클라이언트에게 보낼 파일과 디렉터리를 결정하고 클라이언트는 반환된 개체 이름의 정확성만 확인하므로 클라이언트 측에서 적절한 확인이 없는 경우 요청한 파일 이름과 다른 파일 이름을 전송하기 위해 서버를 사용합니다. SFTP 프로토콜은 이러한 문제가 없지만 "~/"와 같은 특수 경로의 확장을 지원하지 않습니다. 이러한 차이점을 해결하기 위해 이전 OpenSSH 릴리스에서는 SFTP 서버 구현의 ~/ 및 ~user/ 경로에 대한 새로운 SFTP 프로토콜 확장을 도입했습니다.

출처 : opennet.ru