사전 인증 취약점을 수정한 OpenSSH 9.2 출시

SSH 9.2 및 SFTP 프로토콜을 사용하여 작동하기 위한 클라이언트 및 서버의 개방형 구현인 OpenSSH 2.0 릴리스가 출시되었습니다. 새 버전은 사전 인증 단계에서 메모리가 이중으로 해제되는 취약점을 제거합니다. OpenSSH 9.1 릴리스만 영향을 받으며 이전 버전에서는 문제가 나타나지 않습니다.

취약점 발현 조건을 생성하려면 SSH 버전에 따라 "SSH_BUG_CURVE2.0PAD" 및 "SSH_OLD_DHGEX" 플래그를 설정하기 위해 SSH 클라이언트 배너를 "SSH-9.1-FuTTYSH_1p25519"로 변경하면 충분합니다. 고객. 이러한 플래그를 설정한 후 "options.kex_algorithms" 버퍼에 대한 메모리는 compat_kex_proposal()을 호출하는 do_ssh2_kex() 함수를 실행할 때와 input_userauth_request(), mm_getpwnamallow()를 호출하는 do_authentication2() 함수를 실행할 때 두 번 해제됩니다. ), 체인을 따라 copy_set_server_options(), assemble_algorithms() 및 kex_assemble_names().

악용 프로세스가 너무 복잡하기 때문에 취약점에 대해 작동하는 악용을 생성하는 것은 가능성이 낮은 것으로 간주됩니다. 최신 메모리 할당 라이브러리는 메모리의 이중 해제에 대한 보호를 제공하고 오류가 있는 사전 인증 프로세스는 격리된 환경에서 감소된 권한으로 실행됩니다. 샌드박스 환경.

언급된 취약점 외에도 새 릴리스에서는 두 가지 보안 문제도 수정합니다.

• "PermitRemoteOpen" 설정을 처리하는 동안 오류가 발생하여 첫 번째 인수가 "any" 및 "none" 값과 다를 경우 무시됩니다. 이 문제는 OpenSSH 8.7보다 최신 버전에서 나타나며 권한이 하나만 지정된 경우 검사를 건너뛰게 됩니다.
• 이름 확인에 사용되는 DNS 서버를 제어하는 ​​공격자는 CanonicalizeHostname 및 CanonicalizePermittedCNAMEs 옵션이 구성에서 활성화되어 있고 시스템 확인자가 파일의 정확성을 확인하지 않는 경우 Known_hosts 파일에 특수 문자(예: "*")를 대체할 수 있습니다. DNS 서버로부터의 응답. 반환된 이름은 CanonicalizePermittedCNAME을 통해 지정된 조건과 일치해야 하므로 공격이 발생할 가능성은 거의 없는 것으로 간주됩니다.

기타 변경 사항:

• 명령줄을 제공하는 "~C" 이스케이프 시퀀스의 클라이언트 측 처리가 활성화되는지 여부를 제어하기 위해 ssh용 ssh_config에 EnableEscapeCommandline 설정이 추가되었습니다. 기본적으로 이제 더 엄격한 샌드박스 격리를 사용하기 위해 "~C" 처리가 비활성화되어 런타임 시 포트 전달에 "~C"를 사용하는 시스템이 손상될 수 있습니다.
• 채널 비활성 시간 제한을 설정하기 위해 sshd용 sshd_config에 ChannelTimeout 지시어가 추가되었습니다(지시어에 지정된 시간 동안 트래픽이 기록되지 않은 채널은 자동으로 닫힙니다). 세션, X11, 에이전트 및 트래픽 리디렉션에 대해 서로 다른 시간 제한을 설정할 수 있습니다.
• UnusedConnectionTimeout 지시문이 sshd용 sshd_config에 추가되어 특정 시간 동안 활성 채널이 없었던 클라이언트 연결을 종료하기 위한 시간 제한을 설정할 수 있습니다.
• SSH 클라이언트의 유사한 옵션과 유사하게 버전을 표시하기 위해 "-V" 옵션이 sshd에 추가되었습니다.
• 호스트 이름 인수의 값을 반영하여 "ssh -G"의 출력에 "Host" 행을 추가했습니다.
• 복사 버퍼 크기 및 보류 중인 요청 수와 같은 SFTP 프로토콜 매개변수를 제어하기 위해 "-X" 옵션이 scp 및 sftp에 추가되었습니다.
• ssh-keyscan을 사용하면 전체 CIDR 주소 범위(예: "ssh-keyscan 192.168.0.0/24")를 검색할 수 있습니다.

출처 : opennet.ru