Toleo la OpenSSH 9.3 limechapishwa, utekelezaji wazi wa mteja na seva kwa kufanya kazi kwa kutumia itifaki za SSH 2.0 na SFTP. Toleo jipya hurekebisha matatizo ya usalama:
- Hitilafu ya kimantiki iligunduliwa katika matumizi ya ssh-add kwa sababu hiyo, wakati wa kuongeza vitufe vya kadi mahiri kwa wakala wa ssh, vikwazo vilivyobainishwa kwa kutumia chaguo la "ssh-add -h" havikupitishwa kwa wakala. Matokeo yake, ufunguo uliongezwa kwa wakala, ambao hakuna vikwazo vilivyotumika, kuruhusu uunganisho tu kutoka kwa wasimamizi fulani.
- Athari imetambuliwa katika matumizi ya ssh ambayo inaweza kusababisha kusoma data kutoka eneo la rafu nje ya bafa iliyotengwa wakati wa kuchakata majibu ya DNS yaliyoundwa mahususi, ikiwa mpangilio wa VerifyHostKeyDNS umewashwa katika faili ya usanidi. Shida iko katika utekelezaji uliojengwa wa getrrsetbyname() kazi, ambayo hutumiwa katika matoleo ya kubebeka ya OpenSSH yaliyokusanywa bila kutumia maktaba ya ldns ya nje (-with-ldns) na kwenye mifumo iliyo na maktaba za kawaida ambazo haziungi mkono getrrsetbyname( ) wito. Uwezekano wa unyonyaji wa mazingira magumu, zaidi ya kuanzisha kunyimwa huduma kwa mteja wa ssh, inatathminiwa kama haiwezekani.
Zaidi ya hayo, unaweza kutambua hatari katika maktaba ya libskey iliyojumuishwa katika OpenBSD, ambayo inatumika katika OpenSSH. Tatizo limekuwepo tangu 1997 na linaweza kusababisha bafa ya rafu kufurika wakati wa kuchakata majina ya wapangishi yaliyoumbizwa mahususi. Ikumbukwe kwamba licha ya ukweli kwamba udhihirisho wa athari unaweza kuanzishwa kwa mbali kupitia OpenSSH, kiutendaji udhaifu huo hauna maana, kwani ili ujidhihirishe, jina la mwenyeji aliyeshambuliwa lazima liwe na zaidi ya. Vibambo 126, na buffer inaweza tu kujaa herufi zenye msimbo sifuri ('\0').
Mabadiliko yasiyo ya usalama ni pamoja na:
- Imeongeza usaidizi wa kigezo cha "-Ohashalg=sha1|sha256" kwa ssh-keygen na ssh-keyscan ili kuchagua algoriti ya onyesho la nugget ya SSHFP.
- sshd imeongeza chaguo la "-G" kuchanganua na kuonyesha usanidi amilifu bila kujaribu kupakia funguo za kibinafsi na bila kufanya ukaguzi wa ziada, ambayo hukuruhusu kuangalia usanidi katika hatua kabla ya uundaji wa ufunguo na kuendesha ukaguzi na watumiaji wasio na haki.
- sshd huongeza kutengwa kwenye jukwaa la Linux kwa kutumia mifumo ya kuchuja simu ya seccomp na seccomp-bpf. Alama za mmap, madvise na futex zimeongezwa kwenye orodha ya simu zinazoruhusiwa za mfumo.
Chanzo: opennet.ru