Sanggeus genep bulan pangwangunan, sékrési OpenSSH 8.9, hiji klien kabuka sarta palaksanaan server pikeun digawé ngaliwatan SSH 2.0 jeung protokol SFTP, dibere. Versi anyar sshd ngalereskeun kerentanan anu berpotensi ngijinkeun aksés anu teu dioténtikasi. Masalahna disababkeun ku ngabahekeun integer dina kode auténtikasi, tapi ngan ukur tiasa dieksploitasi dina kombinasi sareng kasalahan logis anu sanés dina kode éta.
Dina bentuk ayeuna, kerentanan teu tiasa dieksploitasi nalika mode pamisahan hak istimewa diaktipkeun, sabab manifestasina diblokir ku pamariksaan anu misah anu dilakukeun dina kode tracking pamisahan hak istimewa. Mode separation hak husus geus diaktipkeun sacara standar saprak 2002 saprak OpenSSH 3.2.2, sarta geus wajib saprak release OpenSSH 7.5 diterbitkeun dina 2017. Sajaba ti éta, dina versi portabel tina OpenSSH dimimitian ku release 6.5 (2014), kerentanan ieu diblokir ku kompilasi jeung citakan integer umbul panyalindungan overflow.
Parobahan séjén:
- Versi portabel tina OpenSSH di sshd parantos ngaleungitkeun dukungan asli pikeun hashing kecap akses nganggo algoritma MD5 (ngamungkinkeun ngahubungkeun sareng perpustakaan éksternal sapertos libxcrypt mulang).
- ssh, sshd, ssh-add, sarta ssh-agén nerapkeun subsistem pikeun ngawatesan diteruskeun sarta pamakéan konci ditambahkeun kana ssh-agén. Subsistem ngamungkinkeun anjeun pikeun nyetél aturan anu nangtukeun kumaha sareng dimana konci tiasa dianggo dina ssh-agén. Contona, pikeun nambahkeun konci nu ngan bisa dipaké pikeun auténtikasi pamaké mana wae nu nyambung ka host scylla.example.org, pamaké perseus ka host cetus.example.org, sarta pamaké medea ka host charybdis.example.org kalawan alihan ngaliwatan host panengah scylla.example.org, anjeun tiasa nganggo paréntah di handap ieu: $ ssh-add -h "[email dijaga]» \ -h «scylla.example.org» \ -h «scylla.example.org>[email dijaga]» \ ~/.ssh/id_ed25519
- Dina ssh jeung sshd, algoritma hibrida geus ditambahkeun sacara standar kana daptar KexAlgorithms, nu nangtukeun urutan nu métode bursa konci dipilih.[email dijaga]"(ECDH/x25519 + NTRU Prime), tahan kana pilihan dina komputer kuantum. Dina OpenSSH 8.9, métode rundingan ieu ditambahkeun antara métode ECDH jeung DH, tapi rencanana bakal diaktipkeun sacara standar dina release salajengna.
- ssh-keygen, ssh, sareng ssh-agén parantos ningkatkeun penanganan konci token FIDO anu dianggo pikeun verifikasi alat, kalebet konci pikeun auténtikasi biometrik.
- Ditambahkeun "ssh-keygen -Y cocok-poko" paréntah pikeun ssh-keygen pikeun pariksa usernames dina file allownamelist.
- ssh-add jeung ssh-agén nyadiakeun kamampuhan pikeun nambahkeun konci FIDO ditangtayungan ku kodeu PIN ka ssh-agén (pamenta PIN dipintonkeun dina waktu auténtikasi).
- ssh-keygen ngamungkinkeun pilihan algoritma hashing (sha512 atanapi sha256) salami generasi tandatangan.
- Dina ssh na sshd, pikeun ngaronjatkeun kinerja, data jaringan dibaca langsung kana panyangga tina pakét asup, bypassing panyangga panengah dina tumpukan. Penempatan langsung tina data anu ditampi kana panyangga saluran dilaksanakeun ku cara anu sami.
- Dina ssh, diréktif PubkeyAuthentication parantos ngalegaan daptar parameter anu dirojong (enya | henteu | henteu kabeungkeut | host-bound) pikeun masihan kamampuan milih ekstensi protokol anu dianggo.
Dina release nu bakal datang, urang rencanana ngarobah standar tina utilitas scp ngagunakeun SFTP tinimbang SCP / protokol RCP warisan. SFTP ngagunakeun métode penanganan ngaran nu leuwih bisa diprediksi tur teu make ngolah cangkang tina pola glob dina ngaran file di sisi host séjén urang, nu nyiptakeun masalah kaamanan. Khususna, nalika nganggo SCP sareng RCP, server mutuskeun file sareng diréktori mana anu bakal dikirim ka klien, sareng klien ngan ukur mariksa kabeneran nami obyék anu dipulangkeun, anu, upami henteu aya cek anu leres dina sisi klien, ngamungkinkeun server pikeun nransferkeun ngaran koropak séjén nu béda ti nu dipénta. Protokol SFTP henteu ngagaduhan masalah ieu, tapi henteu ngadukung ékspansi jalur khusus sapertos "~/". Pikeun ngabéréskeun bédana ieu, sékrési OpenSSH sateuacana ngenalkeun ekstensi protokol SFTP énggal kana jalur ~/ sareng ~user/ dina palaksanaan server SFTP.
sumber: opennet.ru