Po šestih mesecih razvoja je predstavljena izdaja OpenSSH 8.9, odprta implementacija odjemalca in strežnika za delo preko protokolov SSH 2.0 in SFTP. Nova različica sshd odpravlja ranljivost, ki bi lahko omogočila neoverjen dostop. Težavo povzroča prekoračitev celega števila v kodi za preverjanje pristnosti, vendar jo je mogoče izkoristiti le v kombinaciji z drugimi logičnimi napakami v kodi.
V trenutni obliki ranljivosti ni mogoče izkoristiti, ko je omogočen način ločevanja privilegijev, saj njeno manifestacijo blokirajo ločena preverjanja, izvedena v kodi za sledenje ločevanja privilegijev. Način ločevanja privilegijev je privzeto omogočen od leta 2002 od OpenSSH 3.2.2 in je obvezen od izdaje OpenSSH 7.5, objavljene leta 2017. Poleg tega je v prenosnih različicah OpenSSH, začenši z izdajo 6.5 (2014), ranljivost blokirana s prevajanjem z vključitvijo celoštevilskih zastavic za zaščito pred prelivom.
Druge spremembe:
- Prenosna različica OpenSSH v sshd je odstranila izvorno podporo za zgoščevanje gesel z uporabo algoritma MD5 (kar omogoča vrnitev povezovanja z zunanjimi knjižnicami, kot je libxcrypt).
- ssh, sshd, ssh-add in ssh-agent izvajajo podsistem za omejevanje posredovanja in uporabe ključev, dodanih ssh-agentu. Podsistem omogoča nastavitev pravil, ki določajo, kako in kje se lahko uporabljajo ključi v agentu ssh. Če želite na primer dodati ključ, ki se lahko uporablja samo za preverjanje pristnosti katerega koli uporabnika, ki se povezuje z gostiteljem scylla.example.org, uporabnika perseus z gostiteljem cetus.example.org in uporabnika medea z gostiteljem charybdis.example.org s preusmeritvijo prek vmesnega gostitelja scylla.example.org lahko uporabite naslednji ukaz: $ ssh-add -h "[e-pošta zaščitena]" \ -h "scylla.example.org" \ -h "scylla.example.org>[e-pošta zaščitena]\ ~/.ssh/id_ed25519
- V ssh in sshd je bil na seznam KexAlgorithms privzeto dodan hibridni algoritem, ki določa vrstni red, v katerem so izbrane metode izmenjave ključev.[e-pošta zaščitena]"(ECDH/x25519 + NTRU Prime), odporen na selekcijo na kvantnih računalnikih. V OpenSSH 8.9 je bila ta metoda pogajanja dodana med metodama ECDH in DH, vendar je načrtovano, da bo privzeto omogočena v naslednji izdaji.
- ssh-keygen, ssh in ssh-agent so izboljšali upravljanje ključev žetonov FIDO, ki se uporabljajo za preverjanje naprave, vključno s ključi za biometrično avtentikacijo.
- V ssh-keygen je dodan ukaz "ssh-keygen -Y match-principals" za preverjanje uporabniških imen v datoteki s seznamom dovoljenih imen.
- ssh-add in ssh-agent omogočata dodajanje ključev FIDO, zaščitenih s kodo PIN, v ssh-agent (zahteva za PIN se prikaže v času avtentikacije).
- ssh-keygen omogoča izbiro algoritma zgoščevanja (sha512 ali sha256) med ustvarjanjem podpisa.
- V ssh in sshd se za izboljšanje zmogljivosti omrežni podatki berejo neposredno v medpomnilnik dohodnih paketov, mimo vmesnega medpomnilnika na skladu. Neposredna namestitev prejetih podatkov v medpomnilnik kanala je izvedena na podoben način.
- V ssh je direktiva PubkeyAuthentication razširila seznam podprtih parametrov (yes|no|unbound|host-bound), da zagotovi možnost izbire razširitve protokola za uporabo.
V prihodnji izdaji nameravamo spremeniti privzeto nastavitev pripomočka scp za uporabo SFTP namesto podedovanega protokola SCP/RCP. SFTP uporablja bolj predvidljive metode ravnanja z imeni in ne uporablja lupinske obdelave vzorcev glob v imenih datotek na strani drugega gostitelja, kar povzroča varnostne težave. Zlasti pri uporabi SCP in RCP se strežnik odloči, katere datoteke in imenike bo poslal odjemalcu, odjemalec pa samo preveri pravilnost vrnjenih imen objektov, kar v odsotnosti ustreznih preverjanj na strani odjemalca omogoča strežnik za prenos drugih imen datotek, ki se razlikujejo od zahtevanih. Protokol SFTP teh težav nima, vendar ne podpira razširitve posebnih poti, kot je »~/«. Da bi odpravili to razliko, je prejšnja izdaja OpenSSH uvedla novo razširitev protokola SFTP za poti ~/ in ~user/ v implementaciji strežnika SFTP.
Vir: opennet.ru