SSH 2.0 va SFTP uchun ochiq kodli mijoz va server implementatsiyasi bo'lgan OpenSSH 9.3 chiqarildi. Yangi versiya quyidagi xavfsizlik muammolarini hal qiladi:
- ssh-add yordam dasturida mantiqiy xatolik aniqlandi. Ssh-agentga smart-karta kalitlarini qo'shishda agent "ssh-add -h" opsiyasi yordamida ko'rsatilgan cheklovlardan o'tmadi. Natijada, agentga faqat ma'lum xostlardan ulanishga ruxsat beruvchi cheklovlarga ega bo'lmagan kalit qo'shildi.
- Agar konfiguratsiya faylida VerifyHostKeyDNS sozlamasi yoqilgan bo'lsa, ssh yordam dasturida maxsus tayyorlangan DNS javoblarini qayta ishlashda chegaradan tashqari stack o'qilishi mumkin bo'lgan zaiflik aniqlandi. Muammo tashqi ldns kutubxonasisiz (--with-ldns) yaratilgan OpenSSH ning ko'chma versiyalarida va getrrsetbyname() chaqiruvini qo'llab-quvvatlamaydigan standart kutubxonalarga ega tizimlarda ishlatiladigan getrrsetbyname() funksiyasining o'rnatilgan amalga oshirilishida mavjud. Ushbu zaiflikdan ssh mijoziga xizmat ko'rsatishni rad etish hujumini boshlashdan tashqari foydalanish ehtimoli kam deb hisoblanadi.
OpenSSH da ishlatiladigan OpenBSD tarkibidagi libskey kutubxonasidagi yana bir zaiflik e'tiborga loyiqdir. Muammo 1997-yildan beri mavjud bo'lib, maxsus yaratilgan xost nomlarini qayta ishlashda stek asosidagi buferning toshib ketishiga olib kelishi mumkin. Zaiflik OpenSSH orqali masofadan turib ishga tushirilishi mumkin bo'lsa-da, bu amaliy emas, chunki hujum qilingan xost nomi (/etc/hostname) 126 dan ortiq belgidan iborat bo'lishi kerak va bufer faqat nol belgilar ('\0') bilan to'ldirilishi mumkin.
Xavfsizlikka oid bo'lmagan o'zgarishlarga quyidagilar kiradi:
- ssh-keygen va ssh-keyscan endi SSHFP barmoq izlarini ko'rsatish algoritmini tanlash uchun "-Ohashalg=sha1|sha256" parametrini qo'llab-quvvatlaydi.
- Shaxsiy kalitlarni yuklashga yoki qo'shimcha tekshiruvlarni amalga oshirishga urinmasdan faol konfiguratsiyani tahlil qilish va ko'rsatish uchun sshd-ga "-G" opsiyasi qo'shildi, bu kalit yaratishdan oldin konfiguratsiyani tekshirishga va imtiyozsiz foydalanuvchilar tekshirishni amalga oshirishga imkon beradi.
- sshd Linux platformasida seccomp va seccomp-bpf tizim chaqiruvlarini filtrlash mexanizmlaridan foydalangan holda izolyatsiyani yaxshiladi. Ruxsat etilgan tizim chaqiruvlari ro'yxatiga mmap, madvise va futex uchun bayroqlar qo'shildi.
Manba: opennet.ru
