рдмреЛрдЪрдо (рдЬрд░реНрдордиреА) рдпреЗрдереАрд▓ рд░реБрд╣рд░ рд╡рд┐рджреНрдпрд╛рдкреАрдард╛рддреАрд▓ рд╕рдВрд╢реЛрдзрдХрд╛рдВрдЪреНрдпрд╛ рдЧрдЯрд╛рдиреЗ SSH - рдЯреЗрд░рд╛рдкрд┐рдирд╡рд░ рдПрдХ рдирд╡реАрди MITM рд╣рд▓реНрд▓рд╛ рддрдВрддреНрд░ рд╕рд╛рджрд░ рдХреЗрд▓реЗ, рдЬреЗ рдкреНрд░реЛрдЯреЛрдХреЙрд▓рдордзреАрд▓ рдЕрд╕реБрд░рдХреНрд╖рд┐рддрддреЗрдЪреЗ (CVE-2023-48795) рд╢реЛрд╖рдг рдХрд░рддреЗ. рдПрдордЖрдпрдЯреАрдПрдо рд╣рд▓реНрд▓рд╛ рдЖрдпреЛрдЬрд┐рдд рдХрд░рдгреНрдпрд╛рд╕ рд╕рдХреНрд╖рдо рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рдХрдбреЗ рдХрдиреЗрдХреНрд╢рдирдЪреНрдпрд╛ рд╡рд╛рдЯрд╛рдШрд╛рдЯреА рдкреНрд░рдХреНрд░рд┐рдпреЗрджрд░рдореНрдпрд╛рди, рдХрдиреЗрдХреНрд╢рди рд╕реБрд░рдХреНрд╖рд╛ рдкрд╛рддрд│реА рдХрдореА рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рд╡рд┐рд╕реНрддрд╛рд░ рдХреЙрдиреНрдлрд┐рдЧрд░ рдХрд░реВрди рд╕рдВрджреЗрд╢ рдкрд╛рдард╡рдгреЗ рдЕрд╡рд░реЛрдзрд┐рдд рдХрд░рдгреНрдпрд╛рдЪреА рдХреНрд╖рдорддрд╛ рдЕрд╕рддреЗ. рдЕрдЯреЕрдХ рдЯреВрд▓рдХрд┐рдЯрдЪрд╛ рдкреНрд░реЛрдЯреЛрдЯрд╛рдЗрдк GitHub рд╡рд░ рдкреНрд░рдХрд╛рд╢рд┐рдд рдХрд░рдгреНрдпрд╛рдд рдЖрд▓рд╛ рдЖрд╣реЗ.
OpenSSH рдЪреНрдпрд╛ рд╕рдВрджрд░реНрднрд╛рдд, рднреЗрджреНрдпрддрд╛, рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, рдХрдореА рд╕реБрд░рдХреНрд╖рд┐рдд рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдЕрд▓реНрдЧреЛрд░рд┐рджрдо рд╡рд╛рдкрд░рдгреНрдпрд╛рд╕рд╛рдареА рдЖрдгрд┐ рдХреАрдмреЛрд░реНрдбрд╡рд░реАрд▓ рдХреАрд╕реНрдЯреНрд░реЛрдХрдордзреАрд▓ рд╡рд┐рд▓рдВрдмрд╛рдВрдЪреЗ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░реВрди рдЗрдирдкреБрдЯ рдкреБрдиреНрд╣рд╛ рддрдпрд╛рд░ рдХрд░рдгрд╛рд░реНтАНрдпрд╛ рд╕рд╛рдЗрдб-рдЪреЕрдиреЗрд▓ рд╣рд▓реНрд▓реНрдпрд╛рдВрдкрд╛рд╕реВрди рд╕рдВрд░рдХреНрд╖рдг рдЕрдХреНрд╖рдо рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдХрдиреЗрдХреНрд╢рди рд░реЛрд▓рдмреЕрдХ рдХрд░рдгреНрдпрд╛рдЪреА рдкрд░рд╡рд╛рдирдЧреА рджреЗрддреЗ. рдкрд╛рдпрдерди рд▓рд╛рдпрдмреНрд░рд░реА AsyncSSH рдордзреНрдпреЗ, рдЕрдВрддрд░реНрдЧрдд рд╕реНрдерд┐рддреА рдорд╢реАрдирдЪреНрдпрд╛ рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреАрдордзреНрдпреЗ рдЕрд╕реБрд░рдХреНрд╖рд┐рддрддрд╛ (CVE-2023-46446) рд╕рд╣ рд╕рдВрдпреЛрдЬрдирд╛рдд, рдЯреЗрд░рд╛рдкрд┐рди рд╣рд▓реНрд▓рд╛ рдЖрдореНрд╣рд╛рд▓рд╛ SSH рд╕рддреНрд░рд╛рдд рд╕реНрд╡рддрдГрд▓рд╛ рд╡реЗрдбреВрди рдШреЗрдгреНрдпрд╛рд╕ рдЕрдиреБрдорддреА рджреЗрддреЛ.
ETM (Encrypt-then-MAC) рдореЛрдбрдЪреНрдпрд╛ рд╕рдВрдпреЛрдЬрдирд╛рдд ChaCha20-Poly1305 рдХрд┐рдВрд╡рд╛ CBC рдореЛрдб рд╕рд╛рдпрдлрд░рд▓рд╛ рд╕рдорд░реНрдерди рджреЗрдгрд╛рд░реНтАНрдпрд╛ рд╕рд░реНрд╡ SSH рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреАрд╡рд░ рднреЗрджреНрдпрддрд╛ рдкрд░рд┐рдгрд╛рдо рдХрд░рддреЗ. рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, 10 рд╡рд░реНрд╖рд╛рдВрд╣реВрди рдЕрдзрд┐рдХ рдХрд╛рд│ OpenSSH рдордзреНрдпреЗ рд╕рдорд╛рди рдХреНрд╖рдорддрд╛ рдЙрдкрд▓рдмреНрдз рдЖрд╣реЗрдд. OpenSSH 9.6 рдЪреНрдпрд╛ рдЖрдЬрдЪреНрдпрд╛ рд░рд┐рд▓реАрдЭрдордзреНрдпреЗ, рддрд╕реЗрдЪ PuTTY 0.80, libssh 0.10.6/0.9.8 рдЖрдгрд┐ AsyncSSH 2.14.2 рдЪреНрдпрд╛ рдЕрджреНрдпрддрдирд╛рдВрдордзреНрдпреЗ рднреЗрджреНрдпрддрд╛ рдирд┐рд╢реНрдЪрд┐рдд рдХреЗрд▓реА рдЖрд╣реЗ. Dropbear SSH рдордзреНрдпреЗ, рдХреЛрдбрдордзреНрдпреЗ рдирд┐рд░рд╛рдХрд░рдг рдЖрдзреАрдЪ рдЬреЛрдбрд▓реЗ рдЧреЗрд▓реЗ рдЖрд╣реЗ, рдкрд░рдВрддреБ рдЕрджреНрдпрд╛рдк рдирд╡реАрди рдкреНрд░рдХрд╛рд╢рди рддрдпрд╛рд░ рдХреЗрд▓реЗ рдЧреЗрд▓реЗ рдирд╛рд╣реА.
рдЕрд╕реБрд░рдХреНрд╖рд┐рддрддрд╛ рдпрд╛ рд╡рд╕реНрддреБрд╕реНрдерд┐рддреАрдореБрд│реЗ рдЙрджреНрднрд╡рддреЗ рдХреА рдПрдХ рдЖрдХреНрд░рдордгрдХрд░реНрддрд╛ рдХрдиреЗрдХреНрд╢рди рдЯреНрд░реЕрдлрд┐рдХ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░рддреЛ (рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рд╡рд╛рдпрд░рд▓реЗрд╕ рдкреЙрдЗрдВрдЯрдЪрд╛ рдорд╛рд▓рдХ) рдХрдиреЗрдХреНрд╢рди рд╡рд╛рдЯрд╛рдШрд╛рдЯреА рдкреНрд░рдХреНрд░рд┐рдпреЗрджрд░рдореНрдпрд╛рди рдкреЕрдХреЗрдЯ рдЕрдиреБрдХреНрд░рдо рдХреНрд░рдорд╛рдВрдХ рд╕рдорд╛рдпреЛрдЬрд┐рдд рдХрд░реВ рд╢рдХрддреЛ рдЖрдгрд┐ SSH рд╕реЗрд╡рд╛ рд╕рдВрджреЗрд╢рд╛рдВрдЪреА рдЕрдирд┐рдпрдВрддреНрд░рд┐рдд рд╕рдВрдЦреНрдпрд╛ рд╢рд╛рдВрддрдкрдгреЗ рд╣рдЯрд╡реВ рд╢рдХрддреЛ. рдХреНрд▓рд╛рдпрдВрдЯ рдХрд┐рдВрд╡рд╛ рд╕рд░реНрд╡реНрд╣рд░рджреНрд╡рд╛рд░реЗ рдкрд╛рдард╡рд▓реЗрд▓реЗ. рдЗрддрд░ рдЧреЛрд╖реНрдЯреАрдВрдмрд░реЛрдмрд░рдЪ, рдЖрдХреНрд░рдордгрдХрд░реНрддрд╛ рд╡рд╛рдкрд░рд▓реЗрд▓реЗ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рд╡рд┐рд╕реНрддрд╛рд░ рдХреЙрдиреНрдлрд┐рдЧрд░ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╡рд╛рдкрд░рд▓реЗрд▓реЗ SSH_MSG_EXT_INFO рд╕рдВрджреЗрд╢ рд╣рдЯрд╡реВ рд╢рдХрддреЛ. рдЕрдиреБрдХреНрд░рдо рдХреНрд░рдорд╛рдВрдХрд╛рдВрдордзреАрд▓ рдЕрдВрддрд░рд╛рдореБрд│реЗ рдкреЕрдХреЗрдЯрдЪреЗ рдиреБрдХрд╕рд╛рди рд╢реЛрдзрдгреНрдпрд╛рдкрд╛рд╕реВрди рджреБрд╕рд░реНтАНрдпрд╛ рдкрдХреНрд╖рд╛рд▓рд╛ рд░реЛрдЦрдгреНрдпрд╛рд╕рд╛рдареА, рдЖрдХреНрд░рдордгрдХрд░реНрддрд╛ рдХреНрд░рдо рдХреНрд░рдорд╛рдВрдХ рд╢рд┐рдлреНрдЯ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд░рд┐рдореЛрдЯ рдкреЕрдХреЗрдЯ рдкреНрд░рдорд╛рдгреЗрдЪ рдХреНрд░рдо рдХреНрд░рдорд╛рдВрдХ рдЕрд╕рд▓реЗрд▓реЗ рдбрдореА рдкреЕрдХреЗрдЯ рдкрд╛рдард╡рдгреНрдпрд╛рд╕ рд╕реБрд░реБрд╡рд╛рдд рдХрд░рддреЛ. рдбрдореА рдкреЕрдХреЗрдЯрдордзреНрдпреЗ SSH_MSG_IGNORE рдзреНрд╡рдЬрд╛рд╕рд╣ рдПрдХ рд╕рдВрджреЗрд╢ рдЖрд╣реЗ, рдЬреЛ рдкреНрд░рдХреНрд░рд┐рдпреЗрджрд░рдореНрдпрд╛рди рджреБрд░реНрд▓рдХреНрд╖рд┐рдд рдХреЗрд▓рд╛ рдЬрд╛рддреЛ.
рд╕реНрдЯреНрд░реАрдо рд╕рд┐рдлрд░ рдЖрдгрд┐ CTR рд╡рд╛рдкрд░реВрди рд╣рд▓реНрд▓рд╛ рдХреЗрд▓рд╛ рдЬрд╛рдК рд╢рдХрдд рдирд╛рд╣реА, рдХрд╛рд░рдг рдЕрдЦрдВрдбрддреЗрдЪреЗ рдЙрд▓реНрд▓рдВрдШрди рдНрдкреНрд▓рд┐рдХреЗрд╢рди рд╕реНрддрд░рд╛рд╡рд░ рд╢реЛрдзрд▓реЗ рдЬрд╛рдИрд▓. рд╡реНрдпрд╡рд╣рд╛рд░рд╛рдд, рдлрдХреНрдд ChaCha20-Poly1305 рд╕рд╛рдпрдлрд░ рдЖрдХреНрд░рдордгрд╛рд╕ рд╕рдВрд╡реЗрджрдирд╛рдХреНрд╖рдо рдЖрд╣реЗ ([рдИрдореЗрд▓ рд╕рдВрд░рдХреНрд╖рд┐рдд]), рдЬреНрдпрд╛рдордзреНрдпреЗ рд░рд╛рдЬреНрдпрд╛рдЪрд╛ рдорд╛рдЧреЛрд╡рд╛ рдХреЗрд╡рд│ рд╕рдВрджреЗрд╢ рдЕрдиреБрдХреНрд░рдо рдХреНрд░рдорд╛рдВрдХрд╛рдВрджреНрд╡рд╛рд░реЗ рдЖрдгрд┐ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯ-рддреНрдпрд╛рди-рдореЕрдХ рдореЛрдб (*[рдИрдореЗрд▓ рд╕рдВрд░рдХреНрд╖рд┐рдд]) рдЖрдгрд┐ CBC рд╕рд┐рдлрд░.
OpenSSH 9.6 рдЖрдгрд┐ рдЗрддрд░ рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреАрдордзреНрдпреЗ, "рдХрдареЛрд░ KEX" рдкреНрд░реЛрдЯреЛрдХреЙрд▓рдЪрд╛ рд╡рд┐рд╕реНрддрд╛рд░ рдЕрдЯреЕрдХ рдЕрд╡рд░реЛрдзрд┐рдд рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд▓рд╛рдЧреВ рдХреЗрд▓рд╛ рдЬрд╛рддреЛ, рдЬреЛ рд╕рд░реНрд╡реНрд╣рд░ рдЖрдгрд┐ рдХреНрд▓рд╛рдпрдВрдЯ рдмрд╛рдЬреВрдВрдирд╛ рд╕рдорд░реНрдерди рдЕрд╕рд▓реНрдпрд╛рд╕ рдЖрдкреЛрдЖрдк рд╕рдХреНрд╖рдо рд╣реЛрддреЛ. рдХрдиреЗрдХреНрд╢рди рд╡рд╛рдЯрд╛рдШрд╛рдЯреА рдкреНрд░рдХреНрд░рд┐рдпреЗрджрд░рдореНрдпрд╛рди рдкреНрд░рд╛рдкреНрдд рдЭрд╛рд▓реЗрд▓реЗ рдХреЛрдгрддреЗрд╣реА рдЕрд╕рд╛рдорд╛рдиреНрдп рдХрд┐рдВрд╡рд╛ рдЕрдирд╛рд╡рд╢реНрдпрдХ рд╕рдВрджреЗрд╢ (рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, SSH_MSG_IGNORE рдХрд┐рдВрд╡рд╛ SSH2_MSG_DEBUG рдзреНрд╡рдЬрд╛рд╕рд╣) рдорд┐рд│рд╛рд▓реНрдпрд╛рд╡рд░ рд╡рд┐рд╕реНрддрд╛рд░ рдХрдиреЗрдХреНрд╢рди рд╕рдорд╛рдкреНрдд рдХрд░рддреЛ рдЖрдгрд┐ рдкреНрд░рддреНрдпреЗрдХ рдХреА рдПрдХреНрд╕рдЪреЗрдВрдЬ рдкреВрд░реНрдг рдЭрд╛рд▓реНрдпрд╛рдирдВрддрд░ MAC (рдореЗрд╕реЗрдЬ рдСрдереЗрдВрдЯрд┐рдХреЗрд╢рди рдХреЛрдб) рдХрд╛рдЙрдВрдЯрд░ рджреЗрдЦреАрд▓ рд░реАрд╕реЗрдЯ рдХрд░рддреЛ.
рд╕реНрддреНрд░реЛрдд: opennet.ru