Po šešių mėnesių kūrimo buvo pristatytas OpenSSH 8.9, atviro kliento ir serverio diegimas, skirtas darbui naudojant SSH 2.0 ir SFTP protokolus. Naujoji sshd versija pašalina pažeidžiamumą, dėl kurio gali būti suteikta neautentifikuota prieiga. Problemą sukelia sveikųjų skaičių perpildymas autentifikavimo kode, tačiau ją galima išnaudoti tik kartu su kitomis loginėmis kodo klaidomis.
Dabartinės formos pažeidžiamumo negalima išnaudoti, kai įjungtas privilegijų atskyrimo režimas, nes jo pasireiškimą blokuoja atskiros patikros, atliekamos privilegijų atskyrimo stebėjimo kode. Privilegijų atskyrimo režimas buvo įjungtas pagal numatytuosius nustatymus nuo 2002 m. nuo OpenSSH 3.2.2 ir buvo privalomas nuo 7.5 m. paskelbto OpenSSH 2017 išleidimo. Be to, nešiojamose OpenSSH versijose, prasidedančiose 6.5 (2014 m.) leidimu, pažeidžiamumas blokuojamas kompiliuojant, įtraukiant sveikųjų skaičių perpildymo apsaugos vėliavėles.
Kiti pakeitimai:
- Nešiojamoji OpenSSH versija sshd pašalino vietinį slaptažodžių maišos palaikymą naudojant MD5 algoritmą (leidžiant grįžti susieti su išorinėmis bibliotekomis, pvz., libxcrypt).
- ssh, sshd, ssh-add ir ssh-agent įdiegia posistemę, kad apribotų prie ssh-agent pridėtų raktų persiuntimą ir naudojimą. Posistemis leidžia nustatyti taisykles, kurios nustato, kaip ir kur raktai gali būti naudojami ssh-agent. Pavyzdžiui, norėdami pridėti raktą, kuris gali būti naudojamas tik autentifikuoti bet kurį vartotoją, prisijungiantį prie pagrindinio kompiuterio scylla.example.org, vartotoją perseus prie pagrindinio kompiuterio cetus.example.org ir naudotoją medea prie pagrindinio kompiuterio charybdis.example.org peradresuodami per tarpinį pagrindinį kompiuterį scylla.example.org, galite naudoti šią komandą: $ ssh-add -h "[apsaugotas el. paštu]" \ -h "scylla.example.org" \ -h "scylla.example.org>[apsaugotas el. paštu]\ ~/.ssh/id_ed25519
- Ssh ir sshd į KexAlgorithms sąrašą pagal numatytuosius nustatymus įtrauktas hibridinis algoritmas, kuris nustato tvarką, kuria pasirenkami raktų mainų metodai.[apsaugotas el. paštu]"(ECDH/x25519 + NTRU Prime), atsparus atrankai kvantiniuose kompiuteriuose. OpenSSH 8.9 versijoje šis derybų metodas buvo įtrauktas tarp ECDH ir DH metodų, tačiau planuojama jį įjungti pagal numatytuosius nustatymus kitoje laidoje.
- ssh-keygen, ssh ir ssh-agent patobulino FIDO atpažinimo raktų, naudojamų įrenginio patvirtinimui, tvarkymą, įskaitant biometrinio autentifikavimo raktus.
- Prie ssh-keygen pridėta komanda „ssh-keygen -Y match-principals“, kad patikrintų naudotojų vardus leidžiamame vardų sąrašo faile.
- ssh-add ir ssh-agent suteikia galimybę prie ssh-agent pridėti PIN kodu apsaugotus FIDO raktus (PIN užklausa rodoma autentifikavimo metu).
- ssh-keygen leidžia pasirinkti maišos algoritmą (sha512 arba sha256) generuojant parašą.
- Ssh ir sshd, siekiant pagerinti našumą, tinklo duomenys nuskaitomi tiesiai į gaunamų paketų buferį, apeinant tarpinį buferį krūvoje. Panašiai įgyvendinamas tiesioginis gautų duomenų talpinimas į kanalo buferį.
- Ssh sistemoje PubkeyAuthentication direktyva išplėtė palaikomų parametrų sąrašą (yes|no|unbound|host-bound), kad būtų suteikta galimybė pasirinkti naudotiną protokolo plėtinį.
Būsimame leidime planuojame pakeisti numatytąjį scp paslaugų programos nustatymą, kad vietoj senojo SCP/RCP protokolo būtų naudojamas SFTP. SFTP naudoja labiau nuspėjamus vardų tvarkymo metodus ir nenaudoja glob modelių apvalkalo apdorojimo failų pavadinimuose kitoje pagrindinio kompiuterio pusėje, todėl kyla saugumo problemų. Visų pirma, naudojant SCP ir RCP, serveris nusprendžia, kuriuos failus ir katalogus siųsti klientui, o klientas tik tikrina grąžinamų objektų pavadinimų teisingumą, o tai, jei nėra tinkamų patikrinimų kliento pusėje, leidžia serverį, kad perduotų kitus failų pavadinimus, kurie skiriasi nuo prašomų. SFTP protokolas neturi šių problemų, tačiau nepalaiko specialių kelių, tokių kaip „~/“, išplėtimo. Siekiant pašalinti šį skirtumą, ankstesniame OpenSSH leidime SFTP serverio diegime buvo pristatytas naujas SFTP protokolo plėtinys ~/ ir ~user/ keliams.
Šaltinis: opennet.ru