SSH 8.6 ve SFTP protokollerini kullanarak çalışmak için bir istemci ve sunucunun açık uygulaması olan OpenSSH 2.0'nın sürümü yayınlandı. Yeni sürüm, önceki sürümde ortaya çıkan LogVerbose yönergesinin uygulanmasındaki bir güvenlik açığını ortadan kaldırır ve şablonlara, işlevlere ve yürütülen kodla ilişkili dosyalara göre filtreleme yeteneği de dahil olmak üzere günlüğe dökülen hata ayıklama bilgilerinin düzeyini artırmanıza olanak tanır korumalı alan ortamında yalıtılmış bir sshd işleminde sıfırlama ayrıcalıklarına sahip.
Henüz bilinmeyen bir güvenlik açığını kullanarak ayrıcalıksız bir işlemin kontrolünü ele geçiren bir saldırgan, korumalı alanı atlamak ve yükseltilmiş ayrıcalıklarla çalışan bir işleme saldırmak için LogVerbose sorununu kullanabilir. LogVerbose ayarının varsayılan olarak devre dışı olması ve genellikle yalnızca hata ayıklama sırasında kullanılması nedeniyle LogVerbose güvenlik açığının pratikte ortaya çıkma ihtimalinin düşük olduğu düşünülmektedir. Saldırı aynı zamanda ayrıcalıksız bir süreçte yeni bir güvenlik açığı bulmayı da gerektiriyor.
OpenSSH 8.6'daki güvenlik açığıyla ilgili olmayan değişiklikler:
- Sftp ve sftp-server'da yeni bir protokol uzantısı uygulandı "[e-posta korumalı]", SFTP istemcisinin, maksimum paket boyutu ve yazma ve okuma işlemlerine ilişkin sınırlar da dahil olmak üzere, sunucuda belirlenen kısıtlamalar hakkında bilgi almasına olanak tanır. Sftp'de veri aktarırken en uygun blok boyutunu seçmek için yeni bir uzantı kullanılır.
- Sshd için sshd_config dosyasına bir ModuliFile ayarı eklendi; bu, DH-GEX için grupları içeren bir "moduli" dosyasının yolunu belirtmenize olanak tanır.
- Her testin çalıştırılmasından bu yana geçen sürenin çıktısını sağlamak için birim testlerine TEST_SSH_ELAPSED_TIMES ortam değişkeni eklendi.
- GNOME şifre isteği arayüzü, biri GNOME2 ve diğeri GNOME3 için olmak üzere iki seçeneğe bölünmüştür (contrib/gnome-ssk-askpass3.c). GNOME3'ün Wayland uyumluluğunu geliştirmeye yönelik bir çeşidi, klavye ve fare yakalamayı kontrol ederken gdk_seat_grab() çağrısı kullanır.
- Linux'ta kullanılan seccomp-bpf tabanlı sanal alana fstatat64 sistem çağrısına yazılımla izin vermeme özelliği eklendi.
Kaynak: opennet.ru