Ir publicēts OpenSSH 9.3 laidiens, atvērta klienta un servera ieviešana darbam, izmantojot SSH 2.0 un SFTP protokolus. Jaunā versija novērš drošības problēmas:
- Ssh-add utilītprogrammā tika konstatēta loģiska kļūda, kuras dēļ, pievienojot viedkaršu atslēgas ssh-agent, aģentam netika nodoti ierobežojumi, kas norādīti, izmantojot opciju “ssh-add -h”. Rezultātā aģentam tika pievienota atslēga, kurai netika piemēroti nekādi ierobežojumi, atļaujot savienojumus tikai no noteiktiem saimniekiem.
- Ssh utilītprogrammā ir konstatēta ievainojamība, kas var izraisīt datu nolasīšanu no steka apgabala ārpus piešķirtā bufera, apstrādājot īpaši formatētas DNS atbildes, ja konfigurācijas failā ir iespējots iestatījums VerifyHostKeyDNS. Problēma ir iebūvētajā funkcijas getrrsetbyname() implementācijā, kas tiek izmantota OpenSSH portatīvajās versijās, kas kompilētas, neizmantojot ārējo ldns bibliotēku (-with-ldns), un sistēmās ar standarta bibliotēkām, kas neatbalsta getrrsetbyname( ) zvanu. Ievainojamības izmantošanas iespēja, izņemot pakalpojuma ssh klientam atteikuma ierosināšanu, tiek novērtēta kā maz ticama.
Turklāt varat atzīmēt ievainojamību libskey bibliotēkā, kas iekļauta OpenBSD un tiek izmantota OpenSSH. Problēma pastāv kopš 1997. gada un var izraisīt steka bufera pārpildīšanu, apstrādājot īpaši formatētus resursdatora nosaukumus. Jāatzīmē, ka, neskatoties uz to, ka ievainojamības izpausmi var uzsākt attālināti, izmantojot OpenSSH, praksē ievainojamība ir bezjēdzīga, jo, lai tā izpaustos, uzbrukuma resursdatora nosaukumā (/etc/hostname) ir jābūt vairāk nekā 126 rakstzīmes, un buferis var būt pārpildīts tikai ar rakstzīmēm ar nulles kodu ('\0').
Ar drošību nesaistītas izmaiņas ietver:
- Pievienots atbalsts parametram "-Ohashalg=sha1|sha256" ssh-keygen un ssh-keyscan, lai atlasītu SSHFP tīrradņa displeja algoritmu.
- sshd ir pievienojis opciju "-G", lai parsētu un parādītu aktīvo konfigurāciju, nemēģinot ielādēt privātās atslēgas un neveicot papildu pārbaudes, kas ļauj pārbaudīt konfigurāciju pirms atslēgas ģenerēšanas un palaist pārbaudi nepiederīgiem lietotājiem.
- sshd uzlabo izolāciju Linux platformā, izmantojot seccomp un seccomp-bpf sistēmas zvanu filtrēšanas mehānismus. Atļauto sistēmas zvanu sarakstam ir pievienoti karodziņi mmap, madvise un futex.
Avots: opennet.ru