Po šiestich mesiacoch vývoja bolo predstavené vydanie OpenSSH 8.9, otvorenej klientskej a serverovej implementácie pre prácu nad protokolmi SSH 2.0 a SFTP. Nová verzia sshd opravuje zraniteľnosť, ktorá by mohla potenciálne umožniť neoverený prístup. Problém je spôsobený pretečením celého čísla v autentifikačnom kóde, ale dá sa využiť iba v kombinácii s inými logickými chybami v kóde.
V súčasnej podobe sa zraniteľnosť nedá zneužiť, keď je povolený režim oddeľovania privilégií, pretože jej prejav je blokovaný samostatnými kontrolami vykonávanými v kóde sledovania oddeľovania privilégií. Režim oddelenia privilégií je štandardne povolený od roku 2002 od OpenSSH 3.2.2 a je povinný od vydania OpenSSH 7.5 zverejneného v roku 2017. Okrem toho v prenosných verziách OpenSSH počínajúc vydaním 6.5 (2014) je zraniteľnosť blokovaná kompiláciou so zahrnutím príznakov ochrany proti pretečeniu celého čísla.
Ďalšie zmeny:
- Prenosná verzia OpenSSH v sshd odstránila natívnu podporu pre hashovanie hesiel pomocou algoritmu MD5 (umožňuje návrat prepojenia s externými knižnicami, ako je libxcrypt).
- ssh, sshd, ssh-add a ssh-agent implementujú subsystém na obmedzenie posielania a používania kľúčov pridaných do ssh-agenta. Subsystém vám umožňuje nastaviť pravidlá, ktoré určujú, ako a kde možno použiť kľúče v ssh-agentovi. Napríklad na pridanie kľúča, ktorý možno použiť iba na overenie ľubovoľného používateľa pripájajúceho sa k hostiteľovi scylla.example.org, používateľa perseus k hostiteľovi cetus.example.org a používateľa medea k hostiteľovi charybdis.example.org s presmerovaním cez stredného hostiteľa scylla.example.org môžete použiť nasledujúci príkaz: $ ssh-add -h "[chránené e-mailom]» \ -h «scylla.example.org» \ -h «scylla.example.org>[chránené e-mailom]» \ ~/.ssh/id_ed25519
- V ssh a sshd bol do zoznamu KexAlgorithms štandardne pridaný hybridný algoritmus, ktorý určuje poradie, v ktorom sa vyberajú metódy výmeny kľúčov.[chránené e-mailom]"(ECDH/x25519 + NTRU Prime), odolný voči selekcii na kvantových počítačoch. V OpenSSH 8.9 bola táto metóda vyjednávania pridaná medzi metódy ECDH a DH, ale plánuje sa, že v nasledujúcom vydaní bude štandardne povolená.
- ssh-keygen, ssh a ssh-agent zlepšili spracovanie tokenových kľúčov FIDO používaných na overenie zariadenia vrátane kľúčov na biometrické overenie.
- Pridaný príkaz "ssh-keygen -Y match-principals" do ssh-keygen na kontrolu používateľských mien v súbore zoznamu povolených mien.
- ssh-add a ssh-agent poskytujú možnosť pridať kľúče FIDO chránené PIN kódom do ssh-agent (požiadavka PIN sa zobrazí v čase overovania).
- ssh-keygen umožňuje výber hashovacieho algoritmu (sha512 alebo sha256) počas generovania podpisu.
- V ssh a sshd sa na zlepšenie výkonu sieťové údaje načítavajú priamo do vyrovnávacej pamäte prichádzajúcich paketov, čím sa obchádza prechodné ukladanie do vyrovnávacej pamäte v zásobníku. Priame umiestnenie prijatých dát do vyrovnávacej pamäte kanála je implementované podobným spôsobom.
- V ssh direktíva PubkeyAuthentication rozšírila zoznam podporovaných parametrov (yes|no|unbound|host-bound), aby poskytla možnosť vybrať rozšírenie protokolu, ktoré sa má použiť.
V budúcom vydaní plánujeme zmeniť predvolené nastavenie pomôcky scp tak, aby namiesto staršieho protokolu SCP/RCP používala SFTP. SFTP používa predvídateľnejšie metódy spracovania názvov a nepoužíva shellové spracovanie vzorov glob v názvoch súborov na strane druhého hostiteľa, čo vytvára bezpečnostné problémy. Najmä pri použití SCP a RCP server rozhodne, ktoré súbory a adresáre pošle klientovi, a klient iba skontroluje správnosť vrátených názvov objektov, čo pri absencii riadnych kontrol na strane klienta umožňuje server preniesť iné názvy súborov, ktoré sa líšia od požadovaných. Protokol SFTP nemá tieto problémy, ale nepodporuje rozšírenie špeciálnych ciest, ako napríklad „~/“. Na vyriešenie tohto rozdielu zaviedlo predchádzajúce vydanie OpenSSH nové rozšírenie protokolu SFTP pre cesty ~/ a ~user/ v implementácii servera SFTP.
Zdroj: opennet.ru