Utgivelsen av OpenSSH 9.3 har blitt publisert, en åpen implementering av en klient og server for å bruke SSH 2.0- og SFTP-protokollene. Den nye versjonen løser sikkerhetsproblemer:
- En logisk feil ble oppdaget i ssh-add-verktøyet på grunn av at restriksjonene spesifisert ved bruk av "ssh-add -h"-alternativet ikke ble sendt til agenten når nøkler for smartkort ble lagt til ssh-agent. Som et resultat ble det lagt til en nøkkel til agenten, som ingen restriksjoner ble brukt på, og tillot kun tilkoblinger fra visse verter.
- Det er identifisert en sårbarhet i ssh-verktøyet som kan føre til lesing av data fra stabelområdet utenfor den tildelte bufferen ved behandling av spesielt formaterte DNS-svar, hvis VerifyHostKeyDNS-innstillingen er aktivert i konfigurasjonsfilen. Problemet ligger i den innebygde implementeringen av funksjonen getrrsetbyname(), som brukes i bærbare versjoner av OpenSSH kompilert uten å bruke det eksterne ldns-biblioteket (-with-ldns) og på systemer med standardbiblioteker som ikke støtter getrrsetbyname( ) anrop. Muligheten for utnyttelse av sårbarheten, annet enn å sette i gang et tjenestenekt til ssh-klienten, vurderes som usannsynlig.
I tillegg kan du merke deg en sårbarhet i libskey-biblioteket inkludert i OpenBSD, som brukes i OpenSSH. Problemet har vært tilstede siden 1997 og kan forårsake stabelbufferoverflyt ved behandling av spesialformaterte vertsnavn. Det bemerkes at til tross for at manifestasjonen av sårbarheten kan initieres eksternt via OpenSSH, er sårbarheten i praksis ubrukelig, siden for at den skal manifestere seg, må navnet på den angrepne verten (/etc/hostname) inneholde mer enn 126 tegn, og bufferen kan bare være overfylt med tegn med null kode ('\0').
Ikke-sikkerhetsendringer inkluderer:
- Lagt til støtte for "-Ohashalg=sha1|sha256"-parameteren til ssh-keygen og ssh-keyscan for å velge SSHFP nugget-visningsalgoritmen.
- sshd har lagt til et "-G"-alternativ for å analysere og vise den aktive konfigurasjonen uten å forsøke å laste inn private nøkler og uten å utføre ytterligere kontroller, som lar deg sjekke konfigurasjonen på stadiet før nøkkelgenerering og kjøre sjekken av uprivilegerte brukere.
- sshd forbedrer isolasjonen på Linux-plattformen ved å bruke seccomp og seccomp-bpf systemanropsfiltreringsmekanismene. Flagg for mmap, madvise og futex er lagt til listen over tillatte systemanrop.
Kilde: opennet.ru