Sanggeus tilu bulan pangwangunan
Pelepasan énggal nambihan panyalindungan ngalawan serangan scp anu ngamungkinkeun server ngalangkungan nami file sanés ti anu dipénta (sabalikna tina
Fitur ieu, nalika nyambungkeun ka server anu dikontrol ku panyerang, tiasa dianggo pikeun nyimpen nami file sareng kontén sanés dina FS pangguna nalika nyalin nganggo scp dina konfigurasi anu nyababkeun gagal nalika nelepon utimes (contona, nalika utimes dilarang ku kawijakan SELinux atanapi saringan panggero sistem). Kamungkinan serangan nyata diperkirakeun minimal, sabab dina konfigurasi has panggero utimes henteu gagal. Salaku tambahan, serangan éta henteu ditingali - nalika nelepon scp, kasalahan transfer data ditampilkeun.
Parobahan umum:
- Dina sftp, ngolah argumen "-1" parantos dieureunkeun, sami sareng ssh sareng scp, anu sateuacana katampa tapi teu dipalire;
- Dina sshd, nalika ngagunakeun IgnoreRhosts, ayeuna aya tilu pilihan: "enya" - malire rhosts / shosts, "henteu" - hormat rhosts / shosts, sarta "shosts-hijina" - ngidinan ".shosts" tapi disallow ". Rhosts";
- Ssh ayeuna ngadukung substitusi% TOKEN dina setélan LocalFoward sareng RemoteForward anu dianggo pikeun alihan socket Unix;
- Ngidinan ngamuat konci umum tina file anu teu énkripsi nganggo konci pribadi upami henteu aya file anu misah sareng konci umum;
- Upami libcrypto aya dina sistem, ssh sareng sshd ayeuna nganggo palaksanaan algoritma chacha20 ti perpustakaan ieu, tibatan palaksanaan portabel anu diwangun, anu lags dina pagelaran;
- Dilaksanakeun kamampuhan pikeun dump eusi daptar binér sertipikat dicabut nalika executing paréntah "ssh-keygen -lQf / jalur";
- Versi portabel ngalaksanakeun definisi sistem dimana sinyal sareng pilihan SA_RESTART ngaganggu operasi pilih;
- Ngarengsekeun masalah sareng assembly on sistem HP / UX na AIX;
- Ngalereskeun masalah sareng ngawangun sandbox seccom dina sababaraha konfigurasi Linux;
- Ningkatkeun deteksi perpustakaan libfido2 sareng ngarengsekeun masalah ngawangun sareng pilihan "--with-security-key-builtin".
Pamekar OpenSSH ogé sakali deui ngingetkeun ngeunaan dékomposisi algoritma anu badé nganggo hashes SHA-1 kusabab
Pikeun ngalancarkeun transisi ka algoritma anyar dina OpenSSH, dina rilis anu bakal datang, setelan UpdateHostKeys bakal diaktipkeun sacara standar, anu sacara otomatis bakal migrasi klien ka algoritma anu langkung dipercaya. Algoritma anu disarankeun pikeun migrasi kalebet rsa-sha2-256/512 dumasar kana RFC8332 RSA SHA-2 (dirojong saprak OpenSSH 7.2 sareng dianggo sacara standar), ssh-ed25519 (dirojong saprak OpenSSH 6.5) sareng ecdsa-sha2-nistp256/384/521. on RFC5656 ECDSA (dirojong saprak OpenSSH 5.7).
Salaku ti release panungtungan, "ssh-rsa" jeung "diffie-hellman-group14-sha1" geus dihapus tina daptar CASignatureAlgorithm nu ngahartikeun algoritma diwenangkeun digital asup sertipikat anyar, saprak ngagunakeun SHA-1 dina sertipikat penah hiji résiko tambahan. Kusabab éta panyerang gaduh waktos anu henteu terbatas pikeun milarian tabrakan pikeun sertipikat anu tos aya, sedengkeun waktos serangan dina konci host diwatesan ku waktos sambungan (LoginGraceTime).
sumber: opennet.ru