SSH 9.6 болон SFTP протоколуудыг ашиглан ажиллах үйлчлүүлэгч болон серверийн нээлттэй хувилбар болох OpenSSH 2.0 хувилбар хэвлэгдэн гарлаа. Шинэ хувилбар нь аюулгүй байдлын гурван асуудлыг зассан:
- SSH протоколын (CVE-2023-48795, “Terrapin” халдлага) сул тал нь MITM халдлагад хамгаалалт багатай нотолгооны алгоритмуудыг ашиглахын тулд холболтыг буцаах, хоцролтод дүн шинжилгээ хийх замаар оролтыг дахин үүсгэх хажуугийн сувгийн халдлагаас хамгаалах хамгаалалтыг идэвхгүй болгох боломжийг олгодог. гар дээрх товчлууруудын хооронд . Довтолгооны аргыг тусдаа мэдээний нийтлэлд тайлбарласан болно.
- Тусгай тэмдэгт агуулсан нэвтрэх болон хостын утгыг өөрчлөх замаар дурын бүрхүүлийн командуудыг солих боломжийг олгодог ssh хэрэгслийн эмзэг байдал. Халдагчид ssh, ProxyCommand болон LocalCommand заавар эсвэл %u, %h зэрэг орлуулагч тэмдэгтүүдийг агуулсан "match exec" блокуудад дамжуулсан нэвтрэх болон хостын нэрийн утгуудыг хянадаг бол энэ эмзэг байдлыг ашиглаж болно. Жишээлбэл, Git нь хост болон хэрэглэгчийн нэрэнд тусгай тэмдэгт оруулахыг хориглодоггүй тул Git-д дэд модулиудыг ашигладаг системд буруу нэвтрэх болон хостыг сольж болно. Үүнтэй төстэй эмзэг байдал libssh дээр бас гарч ирдэг.
- ssh-agent-д алдаа гарсан бөгөөд PKCS#11 хувийн түлхүүрийг нэмэх үед хязгаарлалтыг зөвхөн PKCS#11 жетоноор буцаасан эхний түлхүүрт хэрэглэсэн. Асуудал нь ердийн хувийн түлхүүр, FIDO жетон эсвэл хязгаарлалтгүй түлхүүрүүдэд нөлөөлөхгүй.
Бусад өөрчлөлтүүд:
- ProxyJump удирдамжаар заасан хостын нэр болгон өргөжүүлэх "%j" орлуулалтыг ssh-д нэмсэн.
- ssh нь үйлчлүүлэгчийн талд ChannelTimeout-ийг тохируулах дэмжлэгийг нэмсэн бөгөөд үүнийг идэвхгүй сувгуудыг зогсооход ашиглаж болно.
- ED25519 хувийн түлхүүрүүдийг PEM PKCS8 форматаар ssh, sshd, ssh-add болон ssh-keygen руу уншихад дэмжлэг нэмсэн (өмнө нь зөвхөн OpenSSH форматыг дэмждэг байсан).
- Хэрэглэгчийн нэрийг хүлээн авсны дараа нийтийн түлхүүрийн баталгаажуулалтын тоон гарын үсгийн алгоритмуудыг дахин тохиролцохын тулд ssh болон sshd-д протоколын өргөтгөлийг нэмсэн. Жишээлбэл, өргөтгөлийг ашиглан та "Хэрэглэгчийг тааруулах" хэсэгт PubkeyAcceptedAlgorithms-ийг зааж өгснөөр хэрэглэгчидтэй холбоотой бусад алгоритмуудыг сонгон ашиглаж болно.
- PKCS#11 түлхүүрүүдийг ачаалах үед сертификат тохируулахын тулд ssh-add болон ssh-agent-д протоколын өргөтгөлийг нэмсэн нь PKCS#11 хувийн түлхүүртэй холбоотой гэрчилгээг зөвхөн ssh биш харин ssh-agent-г дэмждэг бүх OpenSSH хэрэгслүүдэд ашиглах боломжийг олгосон.
- Clang-д "-fzero-call-used-regs" гэх мэт дэмжигдээгүй эсвэл тогтворгүй хөрвүүлэгч тугуудыг илрүүлэх сайжруулсан.
- Sshd процессын давуу эрхийг хязгаарлахын тулд getpflags() интерфейсийг дэмждэг OpenSolaris хувилбарууд PRIV_LIMIT-ийн оронд PRIV_XPOLICY горимыг ашигладаг.
Эх сурвалж: opennet.ru