Etter tre måneder med utvikling utgivelse , en åpen klient- og serverimplementering for arbeid via SSH 2.0- og SFTP-protokollene.
Den nye utgivelsen gir beskyttelse mot scp-angrep som lar serveren sende andre filnavn enn de som er forespurt (i motsetning til , gjør angrepet det ikke mulig å endre den brukervalgte katalogen eller globmasken). Husk at i SCP bestemmer serveren hvilke filer og kataloger som skal sendes til klienten, og klienten sjekker bare riktigheten av de returnerte objektnavnene. Essensen av det identifiserte problemet er at hvis utimes systemanrop mislykkes, blir innholdet i filen tolket som filmetadata.
Denne funksjonen, når du kobler til en server kontrollert av en angriper, kan brukes til å lagre andre filnavn og annet innhold i brukerens FS når du kopierer ved hjelp av scp i konfigurasjoner som fører til feil ved oppkalling av utimes (for eksempel når utimes er forbudt av SELinux-policyen eller systemanropsfilteret). Sannsynligheten for reelle angrep er estimert til å være minimal, siden i typiske konfigurasjoner mislykkes ikke utimes-kallet. I tillegg går ikke angrepet upåaktet hen - når du ringer scp, vises en dataoverføringsfeil.
Generelle endringer:
- I sftp har behandlingen av "-1"-argumentet blitt stoppet, i likhet med ssh og scp, som tidligere ble akseptert, men ignorert;
- I sshd, når du bruker IgnoreRhosts, er det nå tre valg: "yes" - ignorer rhosts/shosts, "no" - respekter rhosts/shosts, og "shosts-only" - tillat ".shosts" men deaktiver ".rhosts";
- Ssh støtter nå %TOKEN-substitusjon i LocalFoward- og RemoteForward-innstillingene som brukes til å omdirigere Unix-sockets;
- Tillat lasting av offentlige nøkler fra en ukryptert fil med en privat nøkkel hvis det ikke finnes en egen fil med den offentlige nøkkelen;
- Hvis libcrypto er tilgjengelig i systemet, bruker ssh og sshd nå implementeringen av chacha20-algoritmen fra dette biblioteket, i stedet for den innebygde bærbare implementeringen, som henger etter i ytelse;
- Implementerte muligheten til å dumpe innholdet i en binær liste over tilbakekalte sertifikater når kommandoen "ssh-keygen -lQf /path" ble utført;
- Den bærbare versjonen implementerer definisjoner av systemer der signaler med SA_RESTART-alternativet avbryter operasjonen til select;
- Byggeproblemer på HP/UX- og AIX-systemer er løst;
- Rettet problemer med å bygge seccomp sandbox på noen Linux-konfigurasjoner;
- Forbedret libfido2-biblioteksdeteksjon og løst byggeproblemer med alternativet "--med-sikkerhetsnøkkel-innebygd".
OpenSSH-utviklerne advarte også nok en gang om forestående dekomponering av algoritmer ved bruk av SHA-1-hasher pga. effektiviteten av kollisjonsangrep med et gitt prefiks (kostnaden for å velge en kollisjon er estimert til omtrent 45 tusen dollar). I en av de kommende utgivelsene planlegger de som standard å deaktivere muligheten til å bruke offentlig nøkkel digital signaturalgoritme "ssh-rsa", som er nevnt i den originale RFC for SSH-protokollen og fortsatt er utbredt i praksis (for å teste bruken av ssh-rsa i systemene dine, kan du prøve å koble til via ssh med alternativet "-oHostKeyAlgorithms=-ssh-rsa").
For å jevne overgangen til nye algoritmer i OpenSSH, i en fremtidig utgivelse vil UpdateHostKeys-innstillingen være aktivert som standard, som automatisk vil migrere klienter til mer pålitelige algoritmer. Anbefalte algoritmer for migrering inkluderer rsa-sha2-256/512 basert på RFC8332 RSA SHA-2 (støttet siden OpenSSH 7.2 og brukt som standard), ssh-ed25519 (støttet siden OpenSSH 6.5) og ecdsa-sha2-nistp256/384 basert på RFC521 ECDSA (støttet siden OpenSSH 5656).
Fra den siste utgivelsen har "ssh-rsa" og "diffie-hellman-group14-sha1" blitt fjernet fra CASignatureAlgorithms-listen som definerer algoritmene som er tillatt å digitalt signere nye sertifikater, siden bruk av SHA-1 i sertifikater utgjør en ekstra risiko på grunn av at angriperen har ubegrenset tid til å søke etter en kollisjon for et eksisterende sertifikat, mens tidspunktet for angrep på vertsnøkler er begrenset av tilkoblingstidsavbruddet (LoginGraceTime).
Kilde: opennet.ru