SSH 9.3 жана SFTP протоколдорунун үстүндө иштөө үчүн кардар жана сервердин ачык ишке ашырылышы OpenSSH 2.0 релизи жарыяланды. Жаңы версия коопсуздук маселелерин чечет:
- ssh-add утилитасында логикалык ката аныкталды, анын кесепетинен ssh-агентке смарт-карта ачкычтарын кошууда, "ssh-add -h" опциясы аркылуу көрсөтүлгөн чектөөлөр агентке өткөн жок. Натыйжада, агентке ачкыч кошулду, ал үчүн чектөөлөр колдонулган эмес, ал үчүн айрым хосттордон гана туташууга уруксат берилген.
- ssh утилитасында VerifyHostKeyDNS жөндөөлөрү конфигурация файлында камтылган болсо, атайын даярдалган DNS жоопторун иштеп чыгууда бөлүнгөн буферден тышкаркы стек аймагынан маалыматтарды окууга алып келиши мүмкүн болгон аялуу аныкталган. Көйгөй тышкы ldns китепканасын (--with-ldns) колдонбостон курулган OpenSSH портативдик версияларында жана getrrsetbynameди колдобогон стандарттык китепканалары бар системаларда колдонулган getrrsetbyname() функциясынын орнотулган ишке ашырылышында бар. () чалуу. ssh кардары үчүн кызмат көрсөтүүдөн баш тартууну баштоодон башка аялуу жерди пайдалануу мүмкүнчүлүгү күмөндүү деп бааланат.
Кошумчалай кетсек, OpenSSHде колдонулган OpenBSD менен камтылган libskey китепканасында аялуу байкалса болот. Көйгөй 1997-жылдан бери бар жана атайын даярдалган хост аттарын иштетүүдө стекке буфердин толуп кетишине алып келиши мүмкүн. Алсыздыктын көрүнүшү OpenSSH аркылуу алыстан башталышы мүмкүн экендигине карабастан, иш жүзүндө алсыздык пайдасыз, анткени анын көрүнүшү үчүн чабуул жасалган хосттун аталышы (/etc/hostname) 126 символдон ашык болушу керек, жана буферди нөл коддуу ('\0') символдор менен гана толтурууга болот.
Коопсуздук эмес өзгөртүүлөр арасында:
- "-Ohashalg=sha1|sha256" параметри үчүн ssh-keygen жана ssh-keyscan үчүн SSHFP сүрөттөрүн көрсөтүү үчүн алгоритмди тандоо үчүн колдоо кошулду.
- Жеке ачкычтарды жүктөөгө аракет кылбастан жана кошумча текшерүүлөрдү жасабастан жигердүү конфигурацияны талдоо жана көрсөтүү үчүн sshd'ге "-G" опциясы кошулду, бул конфигурацияны ачкычтарды түзүүдөн мурун текшерип, артыкчылыктары жок колдонуучуларга иштетүүгө мүмкүндүк берет.
- sshd seccomp жана seccomp-bpf тутумунун чалууларды чыпкалоо механизмдерин колдонуу менен Linux платформасында жакшыртылган изоляцияга ээ. Уруксат берилген тутум чалууларынын тизмесине mmap, madvise жана futexке желектер кошулду.
Source: opennet.ru