Opublikowano wydanie OpenSSH 9.3, otwartej implementacji klienta i serwera do pracy na protokołach SSH 2.0 i SFTP. Nowa wersja naprawia problemy z bezpieczeństwem:
- W narzędziu ssh-add zidentyfikowano błąd logiczny, przez który podczas dodawania kluczy karty inteligentnej do ssh-agent ograniczenia określone za pomocą opcji „ssh-add -h” nie były przekazywane do agenta. W efekcie do agenta został dodany klucz, dla którego nie zastosowano ograniczeń zezwalających na połączenia tylko z określonych hostów.
- W narzędziu ssh wykryto lukę, która może powodować odczytywanie danych z obszaru stosu poza przydzielonym buforem podczas przetwarzania specjalnie spreparowanych odpowiedzi DNS, jeśli ustawienie VerifyHostKeyDNS jest uwzględnione w pliku konfiguracyjnym. Problem występuje we wbudowanej implementacji funkcji getrrsetbyname(), która jest używana w przenośnych wersjach OpenSSH zbudowanych bez użycia zewnętrznej biblioteki ldns (--with-ldns) oraz w systemach ze standardowymi bibliotekami, które nie obsługują funkcji getrrsetbyname () dzwonić. Możliwość wykorzystania podatności do celów innych niż zainicjowanie ataku typu „odmowa usługi” dla klienta ssh oceniana jest jako mało prawdopodobna.
Dodatkowo można zauważyć lukę w bibliotece libskey dołączonej do OpenBSD, która jest używana w OpenSSH. Problem występuje od 1997 roku i może prowadzić do przepełnienia bufora na stosie podczas przetwarzania specjalnie spreparowanych nazw hostów. Zwraca się uwagę, że pomimo tego, że manifestację podatności można zainicjować zdalnie poprzez OpenSSH, w praktyce podatność jest bezużyteczna, gdyż do jej ujawnienia nazwa atakowanego hosta (/etc/hostname) musi zawierać więcej niż 126 znaków, a bufor może być przepełniony tylko znakami z kodem zerowym ('\0').
Wśród zmian niezwiązanych z bezpieczeństwem:
- Dodano obsługę parametru „-Ohashalg=sha1|sha256” do ssh-keygen i ssh-keyscan w celu wybrania algorytmu wyświetlania migawek SSHFP.
- Dodano opcję „-G” do sshd, aby analizować i wyświetlać aktywną konfigurację bez próby ładowania kluczy prywatnych i bez przeprowadzania dodatkowych kontroli, umożliwiając sprawdzenie konfiguracji przed wygenerowaniem klucza i uruchomienie przez nieuprzywilejowanych użytkowników.
- sshd ma ulepszoną izolację na platformie Linux przy użyciu mechanizmów filtrowania wywołań systemowych seccomp i seccomp-bpf. Dodano flagi do mmap, madvise i futex do listy dozwolonych wywołań systemowych.
Źródło: opennet.ru