Dimissio OpenSSH 9.3 divulgata est, aperta exsecutio clientis et servientis operandi utens SSH 2.0 et protocolla SFTP. Nova versio problemata securitatem praefigit:
- Error logicus deprehensus est in utilitate ssh-addendi propter quam, cum claves addendo pro chartis captiosis ad ssh-agentem, restrictiones definitas utens "ssh-add -h" optionis agenti non sunt latae. Quam ob rem clavis agenti addita est, ob quam restrictiones nullae adhibitae sunt, hospites tantum ex aliquibus exercitibus permittentes.
- A vulnerabilitas in utilitate ssh notata est quae ad legendi notitias ex ACERVUS area extra quiddam collocari potest, cum responsiones DNS specialiter formatae expediendo, si VerifyHostKeyDNS occasus in file configurationis est potens. Problema est in aedificato-in exsecutione functionis getrrsetbyname(), quae in versionibus portabilibus OpenSSH compilavit, sine adhibitis bibliothecae ldnsis externae (-with-ldns) et in systematibus cum exemplaribus bibliothecis quae getrrsetbyname non sustinent. ) vocare. Possibilitas abusionis vulnerabilitatis, praeter negationem servitii ad clientem ssh inchoandi, aestimatur ut inconveniens.
Praeterea notare potes vulnerabilitatem in bibliotheca libraria in OpenBSD comprehensa, quae in OpenSSH adhibetur. Quaestio ex anno 1997 praesens fuit et potest ACERVUS quiddam redundantiam facere cum processus hostnamiae specialiter formatae. Animadvertendum est non obstante quod manifestatio vulnerabilitatis iniri possit remote per OpenSSH, in usu vulnerabilitas inutilis est, cum pro ea se manifestare debet plus quam nomen exercitus oppugnati (/etc/hostname) continere 126 characteribus, ac quiddam solum characteribus abundare potest cum nulla codice ('\0').
Non securitatem mutationes includit:
- Auxilia addita pro "-Ohashalg=sha1|sha256" parametri ad ssh-keygen et ssh-keyscan ad legendam SSHFP MASSA propono algorithmus.
- sshd optionem "-G" ad parse addidit et configurationem activam ostentare sine clavibus privatis onerare conari et sine adiectis perfunctis perfrui, quae tibi permittit ut conformationem in scaena ante clavem generationis reprimendam et cohibendam ab usoribus inprivilegis decurras.
- sshd solitudo in Linux suggestum auget utendo systema seccomp et seccomp-bpf eliquandi machinas vocationis. Vexilla pro mmap, madvise et futex in indice systematis vocati permissi addita sunt.
Source: opennet.ru