Објављено је издање ОпенССХ 9.3, отворене имплементације клијента и сервера за рад преко ССХ 2.0 и СФТП протокола. Нова верзија решава безбедносне проблеме:
- У услужном програму ссх-адд идентификована је логичка грешка, због које, приликом додавања кључева паметне картице ссх-агенту, агенту нису прослеђена ограничења наведена помоћу опције „ссх-адд -х“. Као резултат тога, агенту је додат кључ, за који нису примењена ограничења која су дозвољавала везе само са одређених хостова.
- У ссх услужном програму је идентификована рањивост која би могла да изазове читање података из области стека изван додељеног бафера приликом обраде посебно креираних ДНС одговора ако је поставка ВерифиХостКеиДНС укључена у конфигурациону датотеку. Проблем постоји у уграђеној имплементацији функције гетррсетбинаме(), која се користи у преносивим верзијама ОпенССХ-а изграђеним без употребе екстерне лднс библиотеке (--витх-лднс) и на системима са стандардним библиотекама који не подржавају гетррсетбинаме () позив. Могућност искоришћавања рањивости, осим покретања ускраћивања услуге за ссх клијента, процењује се као мало вероватна.
Поред тога, рањивост се може приметити у библиотеци либскеи укљученој у ОпенБСД, која се користи у ОпенССХ. Проблем је присутан од 1997. године и може довести до преливања бафера на стеку приликом обраде посебно креираних имена хостова. Напомиње се да упркос чињеници да се испољавање рањивости може покренути даљински путем ОпенССХ-а, у пракси је рањивост бескорисна, јер за њено испољавање име нападнутог хоста (/етц/хостнаме) мора да садржи више од 126 карактера, а бафер се може препунити само знаковима са нултим кодом ('\0').
Међу небезбедносним променама:
- Додата подршка за параметар "-Охасхалг=сха1|сха256" за ссх-кеиген и ссх-кеисцан за избор алгоритма за приказивање ССХФП снимака.
- Додата "-Г" опција за ссхд за рашчлањивање и приказивање активне конфигурације без покушаја учитавања приватних кључева и без вршења додатних провера, омогућавајући проверу конфигурације пре генерисања кључева и покретање непривилегованих корисника.
- ссхд има побољшану изолацију на Линук платформи користећи механизме за филтрирање системских позива сеццомп и сеццомп-бпф. Додате ознаке за ммап, мадвисе и футек на листу дозвољених системских позива.
Извор: опеннет.ру