Опубліковано реліз OpenSSH 8.6, відкритої реалізації клієнта та сервера для роботи за протоколами SSH 2.0 та SFTP. У новій версії усунена вразливість у реалізації директиви LogVerbose, що з'явилася в минулому випуску і дозволяє підняти рівень налагоджувальної інформації, що скидається в лог, в тому числі реалізувати можливість фільтрації за шаблонами, функціями і файлами, пов'язаними з кодом, що виконується зі скинутими привілеями в процесі у sandbox-оточенні.
Атакуючий, який досяг отримання контролю за непривілейованим процесом за допомогою якоїсь ще не відомої вразливості, може використовувати пов'язану з LogVerbose проблему для обходу sandbox-ізоляції і здійснення атаки на процес, що виконується з підвищеними привілеями. Застосування вразливості в LogVerbose на практиці оцінюється як малоймовірне, оскільки налаштування LogVerbose за замовчуванням відключено і зазвичай використовується лише під час налагодження. Також для атаки потрібно знайти нову вразливість у непривілейованому процесі.
Зміни в OpenSSH 8.6, не пов'язані з вразливістю:
- У sftp та sftp-server реалізовано нове розширення протоколу «[захищено електронною поштою]», що дає можливість SFTP-клієнту отримати відомості про встановлені на сервері обмеження, включаючи ліміти на максимальний розмір пакета та операцій запису та читання. У sftp нове розширення задіяне вибору оптимального розміру блоків під час передачі даних.
- У sshd_config для sshd додано налаштування ModuliFile, що дозволяє вказати шлях до файлу "moduli", що містить групи для DH-GEX.
- До unit-тестів додано змінну оточення TEST_SSH_ELAPSED_TIMES для включення виведення часу, що минув з моменту запуску кожного тесту.
- Інтерфейс для запиту пароля для GNOME поділено на два варіанти, один для GNOME2, а другий для GNOME3 (contrib/gnome-ssk-askpass3.c). Варіант для GNOME3 для покращення сумісності з Wayland використовує виклик gdk_seat_grab() при керуванні захопленням клавіатури та миші.
- У sandbox, що застосовується в Linux, на базі seccomp-bpf додано м'яку заборону (soft-disallow) системного виклику fstatat64.
Джерело: opennet.ru