No sechs Méint Entwécklung gouf d'Verëffentlechung vun OpenSSH 8.9, en oppene Client- a Serverimplementatioun fir iwwer d'SSH 2.0 a SFTP Protokoller ze schaffen, presentéiert. Déi nei Versioun vun sshd fixéiert eng Schwachstelle, déi potenziell onauthentifizéierten Zougang erlaabt. D'Thema gëtt duerch en ganz Zuelen Iwwerfloss am Authentifikatiounscode verursaacht, awer kann nëmme a Kombinatioun mat anere logesche Feeler am Code exploitéiert ginn.
A senger aktueller Form kann d'Schwachheet net exploitéiert ginn wann de Privileg Trennungsmodus ageschalt ass, well seng Manifestatioun blockéiert ass duerch getrennte Kontrollen, déi am Privileg Trennungs Tracking Code gemaach ginn. Privilege Trennung Modus ass als Standard zënter 2002 zanter OpenSSH 3.2.2 aktivéiert, an ass obligatoresch zënter der Verëffentlechung vun OpenSSH 7.5 am 2017 publizéiert. Zousätzlech, a portable Versioune vun OpenSSH ugefaange mat der Verëffentlechung 6.5 (2014), ass d'Schwachstelle blockéiert duerch Kompilatioun mat der Inklusioun vun ganzen Iwwerschwemmungsschutz Fändelen.
Aner Ännerungen:
- Déi portabel Versioun vun OpenSSH an sshd huet gebierteg Ënnerstëtzung fir Passwierder ze hashen mam MD5 Algorithmus geläscht (et erlaabt d'Verbindung mat externe Bibliothéike wéi libxcrypt zréckzekommen).
- ssh, sshd, ssh-add, an ssh-agent implementéieren e Subsystem fir d'Forwarding an d'Benotzung vu Schlësselen, déi op ssh-agent bäigefüügt ginn, ze beschränken. De Subsystem erlaabt Iech Regelen ze setzen déi bestëmmen wéi a wou Schlësselen am ssh-Agent benotzt kënne ginn. Zum Beispill, fir e Schlëssel ze addéieren deen nëmme benotzt ka ginn fir all Benotzer ze authentifizéieren, dee mam Host scylla.example.org verbënnt, de Benotzer perseus zum Host cetus.example.org, an de Benotzer medea zum Host charybdis.example.org mat Viruleedung duerch en Zwëschenhost scylla.example.org, kënnt Dir de folgende Kommando benotzen: $ ssh-add -h "[Email geschützt]" \ -h "scylla.example.org" \ -h "scylla.example.org>[Email geschützt]\ ~/.ssh/id_ed25519
- An ssh an sshd ass en Hybrid Algorithmus par défaut op d'KexAlgorithms Lëscht bäigefüügt ginn, déi d'Uerdnung bestëmmt an där Schlësselaustauschmethoden ausgewielt ginn.[Email geschützt]"(ECDH/x25519 + NTRU Prime), resistent géint Selektioun op Quantecomputer. Am OpenSSH 8.9 gouf dës Verhandlungsmethod tëscht den ECDH an DH Methoden bäigefüügt, awer et ass geplangt als Standard an der nächster Verëffentlechung aktivéiert ze ginn.
- ssh-keygen, ssh, an ssh-agent hunn verbessert Handhabung vun FIDO Token Schlësselen benotzt fir Apparat Verifizéierung, dorënner Schlësselen fir biometresch Authentifikatioun.
- Füügt "ssh-keygen -Y match-principals" Kommando op ssh-keygen fir Benotzernimm an der allownamelist Datei ze kontrolléieren.
- ssh-add an ssh-agent bidden d'Fäegkeet fir FIDO-Schlësselen ze addéieren, geschützt vun engem PIN-Code op ssh-agent (d'PIN-Ufro gëtt zur Zäit vun der Authentifikatioun ugewisen).
- ssh-keygen erlaabt d'Wiel vum Hashing Algorithmus (sha512 oder sha256) während der Ënnerschrëft Generatioun.
- An ssh an sshd, fir d'Performance ze verbesseren, ginn d'Netzwierkdaten direkt an de Puffer vun erakommen Pakete gelies, andeems d'Zwëschenpuffer um Stack ëmgoen. Direkt Plazéierung vun den erhalenen Donnéeën an e Kanalbuffer gëtt op eng ähnlech Manéier ëmgesat.
- An ssh huet d'PubkeyAuthentication Direktiv d'Lëscht vun ënnerstëtzte Parameteren erweidert (jo|nee|unbound|host-gebonnen) fir d'Fäegkeet ze bidden fir d'Protokollverlängerung ze benotzen fir ze benotzen.
An enger zukünfteg Verëffentlechung plangen mir d'Default vum scp Utility z'änneren fir SFTP ze benotzen amplaz vum legacy SCP / RCP Protokoll. SFTP benotzt méi prévisibel Nummbehandlungsmethoden a benotzt keng Shellveraarbechtung vu Globmuster an Dateinumm op der Säit vum anere Host, wat Sécherheetsproblemer schaaft. Besonnesch wann Dir SCP an RCP benotzt, entscheet de Server wéi eng Dateien an Verzeichnisser fir de Client ze schécken, an de Client iwwerpréift nëmmen d'Korrektheet vun den zréckginn Objektnumm, wat, an der Verontreiung vu richtege Kontrollen op der Client Säit, de Client erlaabt. Server fir aner Dateinumm ze transferéieren déi vun deenen ugefrote ënnerscheeden. De SFTP-Protokoll huet dës Problemer net, awer ënnerstëtzt net d'Expansioun vu spezielle Weeër wéi "~/". Fir dësen Ënnerscheed unzegoen, huet déi fréier Verëffentlechung vun OpenSSH eng nei SFTP Protokollverlängerung op d'~/ an ~user/ Weeër an der SFTP Server Implementatioun agefouert.
Source: opennet.ru