Wara tliet xhur ta 'żvilupp rilaxx , implimentazzjoni ta' klijent u server miftuħ biex taħdem permezz tal-protokolli SSH 2.0 u SFTP.
Ir-rilaxx il-ġdid iżid protezzjoni kontra attakki scp li jippermettu lis-server jgħaddi ismijiet ta’ fajls oħra minn dawk mitluba (kuntrarju għal , l-attakk ma jagħmilx possibbli li tinbidel id-direttorju magħżul mill-utent jew il-maskra tal-glob). Ifakkar li fl-SCP, is-server jiddeċiedi liema fajls u direttorji jibgħat lill-klijent, u l-klijent jiċċekkja biss il-korrettezza tal-ismijiet tal-oġġetti rritornati. L-essenza tal-problema identifikata hija li jekk is-sejħa tas-sistema utimes tfalli, allura l-kontenut tal-fajl jiġi interpretat bħala metadata tal-fajl.
Din il-karatteristika, meta tikkonnettja ma’ server ikkontrollat minn attakkant, tista’ tintuża biex issalva ismijiet ta’ fajls oħra u kontenut ieħor fl-FS tal-utent meta tikkopja bl-użu ta’ scp f’konfigurazzjonijiet li jwasslu għal falliment meta ssejjaħ utimes (pereżempju, meta utimes huwa pprojbit minn il-politika SELinux jew il-filtru tas-sejħa tas-sistema). Il-probabbiltà ta 'attakki reali hija stmata li hija minima, peress li f'konfigurazzjonijiet tipiċi s-sejħa utimes ma tfallix. Barra minn hekk, l-attakk ma jgħaddix inosservat - meta ssejjaħ scp, jintwera żball ta 'trasferiment tad-dejta.
Bidliet ġenerali:
- Fl-sftp, l-ipproċessar tal-argument "-1" twaqqaf, simili għal ssh u scp, li qabel kien aċċettat iżda injorat;
- F'sshd, meta tuża IgnoreRhosts, issa hemm tliet għażliet: "iva" - tinjora rhosts/shosts, "le" - tirrispetta rhosts/shosts, u "shosts-only" - jippermettu ".shosts" iżda tiddiżattiva ".rhosts";
- Ssh issa jappoġġa sostituzzjoni ta' %TOKEN fis-settings ta' LocalFoward u RemoteForward użati biex jerġgħu jidderieġu sockets Unix;
- Ħalli t-tagħbija taċ-ċwievet pubbliċi minn fajl mhux kriptat b'ċavetta privata jekk ma jkunx hemm fajl separat biċ-ċavetta pubblika;
- Jekk libcrypto huwa disponibbli fis-sistema, ssh u sshd issa juża l-implimentazzjoni tal-algoritmu chacha20 minn din il-librerija, minflok l-implimentazzjoni portabbli integrata, li għadha lura fil-prestazzjoni;
- Implimenta l-abbiltà li jitfa 'l-kontenut ta' lista binarja ta 'ċertifikati revokati meta tesegwixxi l-kmand "ssh-keygen -lQf /path";
- Il-verżjoni portabbli timplimenta definizzjonijiet ta 'sistemi li fihom is-sinjali bl-għażla SA_RESTART jinterrompu l-operazzjoni tal-għażla;
- Il-problemi tal-bini fuq sistemi HP/UX u AIX ġew solvuti;
- Problemi fissi bil-bini ta 'sandbox seccomp fuq xi konfigurazzjonijiet Linux;
- Sejbien mtejba tal-librerija libfido2 u kwistjonijiet ta' bini solvuti bl-għażla "--with-security-key-builtin".
L-iżviluppaturi tal-OpenSSH għal darb'oħra wissew ukoll dwar id-dekompożizzjoni imminenti tal-algoritmi li jużaw il-hashes SHA-1 minħabba l-effettività tal-attakki ta 'ħabta bi prefiss partikolari (l-ispiża tal-għażla ta' ħabta hija stmata għal madwar 45 elf dollaru). F'wieħed mir-rilaxxi li ġejjin, huma jippjanaw li jiskonnettjaw awtomatikament l-abbiltà li jużaw l-algoritmu tal-firma diġitali taċ-ċavetta pubblika "ssh-rsa", li huwa msemmi fl-RFC oriġinali għall-protokoll SSH u jibqa' mifrux fil-prattika (biex jittestja l-użu ta’ ssh-rsa fis-sistemi tiegħek, tista’ tipprova tikkonnettja permezz ta’ ssh bl-għażla “-oHostKeyAlgorithms=-ssh-rsa”).
Biex ittejjeb it-tranżizzjoni għal algoritmi ġodda f'OpenSSH, f'rilaxx futur se jkun attivat l-issettjar UpdateHostKeys awtomatikament, li awtomatikament jemigra lill-klijenti għal algoritmi aktar affidabbli. Algoritmi rakkomandati għall-migrazzjoni jinkludu rsa-sha2-256/512 ibbażati fuq RFC8332 RSA SHA-2 (sostnjati minn OpenSSH 7.2 u użati b'mod awtomatiku), ssh-ed25519 (appoġġati minn OpenSSH 6.5) u ecdsa-sha2-nistp256/384 based/521/5656 fuq RFC5.7 ECDSA (appoġġjat minn OpenSSH XNUMX).
Mill-aħħar ħarġa, "ssh-rsa" u "diffie-hellman-group14-sha1" tneħħew mil-lista CASignatureAlgorithms li tiddefinixxi l-algoritmi permessi li jiffirmaw b'mod diġitali ċertifikati ġodda, peress li l-użu ta' SHA-1 fiċ-ċertifikati joħloq riskju addizzjonali. minħabba li l-attakkant għandu ħin illimitat biex ifittex ħabta għal ċertifikat eżistenti, filwaqt li l-ħin tal-attakk fuq iċ-ċwievet tal-ospitanti huwa limitat mill-timeout tal-konnessjoni (LoginGraceTime).
Sors: opennet.ru