Navoaka ny famoahana ny OpenSSH 9.2, fampiharana misokatra ho an'ny mpanjifa sy mpizara miasa amin'ny fampiasana ny protocols SSH 2.0 sy SFTP. Ny kinova vaovao dia manafoana ny vulnerable izay mitarika fanafahana indroa ny fahatsiarovana amin'ny dingana mialoha ny fanamarinana. Ny famoahana OpenSSH 9.1 ihany no voakasika ny olana dia tsy miseho amin'ny dikan-teny teo aloha.
Mba hamoronana fepetra hanehoana ny fahalemena, dia ampy ny manova ny sora-baventy mpanjifa SSH ho "SSH-2.0-FuTTYSH_9.1p1" mba hametrahana ny saina "SSH_BUG_CURVE25519PAD" sy "SSH_OLD_DHGEX", izay miankina amin'ny dikan'ny SSH. mpanjifa. Aorian'ny fametrahana ireo saina ireo dia afahana indroa ny fahatsiarovana ny buffer "options.kex_algorithms" - rehefa manatanteraka ny asa do_ssh2_kex(), izay miantso compat_kex_proposal(), ary rehefa manatanteraka ny asa do_authentication2() izay miantso input_userauth_request(llow), mm_getpwnama ), copy_set_server_options() manaraka ny rojo , assemble_algorithm() ary kex_assemble_names().
Ny famoronana asa ho an'ny vulnerability dia heverina ho tsy azo inoana, satria sarotra loatra ny fizotran'ny fitrandrahana - ny trano famakiam-bokin'ny fitadidiana maoderina dia manome fiarovana amin'ny fanafahana fahatsiarovana indroa, ary ny dingana alohan'ny fanamarinana izay misy ny hadisoana dia mandeha miaraka amin'ny tombontsoa ambany kokoa amin'ny toerana mitokana. tontolo iainana sandbox.
Ho fanampin'ny vulnerability voamarika, ny famoahana vaovao dia mamaha olana roa hafa momba ny fiarovana:
- Nisy hadisoana nitranga tamin'ny fanodinana ny "PermitRemoteOpen", ka nahatonga ny hevitra voalohany tsy hiraharaha raha tsy mitovy amin'ny soatoavina "any" sy "none". Ny olana dia miseho amin'ny dikan-teny vaovao kokoa noho ny OpenSSH 8.7 ary mahatonga ny fisavana ho voatsipaka rehefa mahazo alalana iray ihany.
- Ny mpanafika mifehy ny mpizara DNS ampiasaina amin'ny famahana anarana dia afaka manolo ireo tarehintsoratra manokana (ohatra, "*") amin'ny fisie known_hosts raha toa ka alefa ao amin'ny configuration ny safidy CanonicalizeHostname sy CanonicalizePermittedCNAMEs, ary tsy manamarina ny fahamarinan'ny rafitra. valiny avy amin'ny mpizara DNS. Heverina ho tsy azo inoana ny fanafihana satria tsy maintsy mifanaraka amin'ny fepetra voatondro amin'ny alalan'ny CanonicalizePermittedCNAMEs ny anarana naverina.
Fanovana hafa:
- Nampiana ssh_config ho an'ny ssh ny firafitry EnableEscapeCommandline mba hifehezana raha azo atao ny fanodinana amin'ny lafiny mpanjifa ny filaharan'ny fandosirana "~C" izay manome ny baiko. Amin'ny alΓ lan'ny default, ny fikirakirana "~C" dia tsy kilemaina amin'ny fampiasana fitokanana sandbox henjana kokoa, mety handrava ny rafitra mampiasa "~C" amin'ny fandefasana seranan-tsambo amin'ny fotoana fandehanana.
- Nampiana sshd_config ho an'ny sshd ny toromarika ChannelTimeout mba hametrahana ny fe-potoana tsy fiasan'ny fantsona (fantsona tsy misy fifamoivoizana voarakitra mandritra ny fotoana voatondro ao amin'ny torolΓ lana dia hikatona ho azy). Ny fe-potoana samihafa dia azo apetraka ho an'ny session, X11, agent, ary redirection traffic.
- Ny torolΓ lana UnusedConnectionTimeout dia nampiana sshd_config ho an'ny sshd, ahafahanao mametraka fe-potoana hamaranana ny fifandraisan'ny mpanjifa izay tsy misy fantsona mavitrika nandritra ny fotoana iray.
- Ny safidy "-V" dia nampiana sshd mba hampisehoana ny dikan-teny, mitovy amin'ny safidy mitovy amin'ny mpanjifa ssh.
- Nampiana ny tsipika "Host" amin'ny fivoahan'ny "ssh -G", maneho ny sandan'ny tohan-kevitra mpampiantrano.
- Ny safidy "-X" dia nampiana tamin'ny scp sy sftp mba hifehezana ny masontsivana protocol SFTP toy ny haben'ny buffer kopia sy ny isan'ny fangatahana miandry.
- Ny ssh-keyscan dia mamela ny fisavana ny isan'ny adiresy CIDR feno, ohatra "ssh-keyscan 192.168.0.0/24".
Source: opennet.ru