Sanggeus tilu bulan pangwangunan ngabebaskeun , klien kabuka sarta palaksanaan server pikeun digawé via SSH 2.0 jeung protokol SFTP.
Pelepasan énggal nambihan panyalindungan ngalawan serangan scp anu ngamungkinkeun server ngalangkungan nami file sanés ti anu dipénta (sabalikna tina , serangan teu ngamungkinkeun pikeun ngarobah diréktori dipilih-pamaké atawa glob mask). Émut yén dina SCP, server mutuskeun file sareng diréktori mana anu bakal dikirim ka klien, sareng klien ngan ukur mariksa kabeneran nami obyék anu dipulangkeun. Intina tina masalah anu diidentifikasi nyaéta upami sistem panggero utimes gagal, teras eusi file diinterpretasi salaku metadata file.
Fitur ieu, nalika nyambungkeun ka server anu dikontrol ku panyerang, tiasa dianggo pikeun nyimpen nami file sareng kontén sanés dina FS pangguna nalika nyalin nganggo scp dina konfigurasi anu nyababkeun gagal nalika nelepon utimes (contona, nalika utimes dilarang ku kawijakan SELinux atanapi saringan panggero sistem). Kamungkinan serangan nyata diperkirakeun minimal, sabab dina konfigurasi has panggero utimes henteu gagal. Salaku tambahan, serangan éta henteu ditingali - nalika nelepon scp, kasalahan transfer data ditampilkeun.
Parobahan umum:
- Dina sftp, ngolah argumen "-1" parantos dieureunkeun, sami sareng ssh sareng scp, anu sateuacana katampa tapi teu dipalire;
- Dina sshd, nalika ngagunakeun IgnoreRhosts, ayeuna aya tilu pilihan: "enya" - malire rhosts / shosts, "henteu" - hormat rhosts / shosts, sarta "shosts-hijina" - ngidinan ".shosts" tapi disallow ". Rhosts";
- Ssh ayeuna ngadukung substitusi% TOKEN dina setélan LocalFoward sareng RemoteForward anu dianggo pikeun alihan socket Unix;
- Ngidinan ngamuat konci umum tina file anu teu énkripsi nganggo konci pribadi upami henteu aya file anu misah sareng konci umum;
- Upami libcrypto aya dina sistem, ssh sareng sshd ayeuna nganggo palaksanaan algoritma chacha20 ti perpustakaan ieu, tibatan palaksanaan portabel anu diwangun, anu lags dina pagelaran;
- Dilaksanakeun kamampuhan pikeun dump eusi daptar binér sertipikat dicabut nalika executing paréntah "ssh-keygen -lQf / jalur";
- Versi portabel ngalaksanakeun definisi sistem dimana sinyal sareng pilihan SA_RESTART ngaganggu operasi pilih;
- Ngarengsekeun masalah sareng assembly on sistem HP / UX na AIX;
- Ngalereskeun masalah sareng ngawangun sandbox seccom dina sababaraha konfigurasi Linux;
- Ningkatkeun deteksi perpustakaan libfido2 sareng ngarengsekeun masalah ngawangun sareng pilihan "--with-security-key-builtin".
Pamekar OpenSSH ogé sakali deui ngingetkeun ngeunaan dékomposisi algoritma anu badé nganggo hashes SHA-1 kusabab Éféktivitas serangan tabrakan kalayan awalan anu dipasihkeun (biaya pikeun milih tabrakan diperkirakeun sakitar 45 rébu dolar). Dina salah sahiji sékrési anu bakal datang, aranjeunna ngarencanakeun pikeun nganonaktipkeun sacara standar kamampuan ngagunakeun algoritma tanda tangan digital konci umum "ssh-rsa", anu disebatkeun dina RFC asli pikeun protokol SSH sareng tetep nyebar dina praktékna (pikeun nguji panggunaan. tina ssh-rsa dina sistem anjeun, anjeun tiasa nyobian nyambungkeun via ssh sareng pilihan "-oHostKeyAlgorithm = -ssh-rsa").
Pikeun ngalancarkeun transisi ka algoritma anyar dina OpenSSH, dina rilis anu bakal datang, setelan UpdateHostKeys bakal diaktipkeun sacara standar, anu sacara otomatis bakal migrasi klien ka algoritma anu langkung dipercaya. Algoritma anu disarankeun pikeun migrasi kalebet rsa-sha2-256/512 dumasar kana RFC8332 RSA SHA-2 (dirojong saprak OpenSSH 7.2 sareng dianggo sacara standar), ssh-ed25519 (dirojong saprak OpenSSH 6.5) sareng ecdsa-sha2-nistp256/384/521. on RFC5656 ECDSA (dirojong saprak OpenSSH 5.7).
Salaku ti release panungtungan, "ssh-rsa" jeung "diffie-hellman-group14-sha1" geus dihapus tina daptar CASignatureAlgorithm nu ngahartikeun algoritma diwenangkeun digital asup sertipikat anyar, saprak ngagunakeun SHA-1 dina sertipikat penah hiji résiko tambahan. Kusabab éta panyerang gaduh waktos anu henteu terbatas pikeun milarian tabrakan pikeun sertipikat anu tos aya, sedengkeun waktos serangan dina konci host diwatesan ku waktos sambungan (LoginGraceTime).
sumber: opennet.ru