OpenSSH 9.2 ir pieejams, izlabojot 3 ievainojamības un ar dažiem uzlabojumiem

Programmas palaišana jaunā klienta un servera atvērtās ieviešanas versija darbam ar SSH 2.0 un SFTP protokoliem, "OpenSSH 9.2".

Jaunā versija novērš ievainojamību, kas noved pie atmiņas apgabala dubultas atbrīvošanas pirmsautentifikācijas stadijā. ievainojamība ietekmē tikai OpenSSH 9.1 izlaišanu, iepriekšējās versijās problēma neparādās.

Lai izveidotu nosacījumus ievainojamības izpausmei, pietiek nomainīt SSH klienta reklāmkarogu uz "SSH-2.0-FuTTYSH_9.1p1", lai sasniegtu karogu "SSH_BUG_CURVE25519PAD" un "SSH_OLD_DHGEX" konfigurāciju atkarībā no versijas. no SSH klienta.

Pēc šo karodziņu iestatīšanas bufera "options.kex_algorithms" atmiņa tiek atbrīvota divas reizes: izpildot funkciju do_ssh2_kex(), kas izsauc compat_kex_proposal(), un izpildot funkciju do_authentication2(), kas izsauc input_userauth_request( ), mmlow(getpw) ), copy_set_server_options() visā ķēdē, ensemble_algorithms() un kex_assemble_names().

Tiek uzskatīts, ka maz ticams, ka tas radīs efektīvu ievainojamības izmantošanu, jo ekspluatācijas process ir pārāk sarežģīts: modernās atmiņas piešķiršanas bibliotēkas nodrošina aizsardzību pret dubultu atmiņas atbrīvošanu, un pirmsautentifikācijas process, kurā ir kļūda, smilškastē darbojas ar samazinātām privilēģijām.

Papildus minētajai ievainojamībai, jaunā versija novērš arī vēl divas drošības problēmas:

• Apstrādājot iestatījumu "PermitRemoteOpen", radās kļūda, kuras dēļ pirmais arguments tika ignorēts, ja tas atšķiras no vērtībām "any" un "none". Problēma parādās versijās pēc OpenSSH 8.7, un tās dēļ pārbaude tiek izlaista, ja ir norādīta tikai viena atļauja.
• Uzbrucējs, kas kontrolē nosaukumu atrisināšanai izmantoto DNS serveri, var panākt speciālo rakstzīmju (piemēram, "*") aizstāšanu zināmos saimniekdatoru failos, ja konfigurācijā ir iespējotas opcijas CanonicalizeHostname un CanonicalizePermittedCNAMEs un atrisinātājs nepārbauda DNS labošanu. servera atbildes. Uzbrukums, visticamāk, neizdosies, jo atgrieztajiem nosaukumiem ir jāatbilst nosacījumiem, kas norādīti, izmantojot CanonicalizePermittedCNAME.

Kas jauns programmā OpenSSH 9.2

No OpenSSH 9.2 veiktajām izmaiņām tas izceļas pievienoja konfigurācijune IespējotEscapeCommandline a ssh_config lai kontrolētu klienta puses apstrādi ikreiz, kad ir iespējota komandrinda. Pēc noklusējuma "~C" apstrāde tagad ir atspējota lai atļautu stingrāku smilškastes darbību, kas varētu sabojāt sistēmas, kuras izpildes laikā portu pārsūtīšanai izmanto "~C".

Tas ir bijis pievienota ChannelTimeout direktīva uz sshd_config lai sshd iestatītu kanāla dīkstāves taimautu (Kanāli, kuros polisē norādītajā laikā nav konstatēta trafika, tiks automātiski slēgti.) Sesijas, X11, aģenta un novirzīšanas datplūsmai var būt dažādi noildzes.

Gada citas izmaiņas:

• Pievienota UnusedConnectionTimeout direktīva sshd_config for sshd, kas ļauj iestatīt taimautu savienojumu pārtraukšanai no klientiem, kuriem noteiktu laiku nav bijuši aktīvi kanāli.
• Sshd ir pievienota opcija "-V", lai parādītu versiju, kas ir līdzīga ssh klienta opcijai.
• Pievienota virkne "host" izvadei "ssh -G", lai atspoguļotu resursdatora nosaukuma argumenta vērtību.
• Scp un sftp ir pievienota opcija "-X", lai kontrolētu SFTP parametrus, piemēram, kopēšanas bufera lielumu un neapstiprināto pieprasījumu skaitu.
• ssh-keyscan ļauj skenēt visu CIDR adrešu diapazonu, piemēram, “ssh-keyscan 192.168.0.0/24”.

Beidzot ja jūs interesē uzzināt vairāk par to par šo jauno versiju varat pārbaudīt informāciju pārejot uz šo saiti.

Kā Linux instalēt OpenSSH 9.2?

Tiem, kurus interesē iespēja instalēt šo jauno OpenSSH versiju savās sistēmās, pagaidām viņi to var izdarīt lejupielādējot šī un veicot kompilāciju savos datoros.

Tas ir tāpēc, ka jaunā versija vēl nav iekļauta galveno Linux izplatīšanas krātuvēs. Lai iegūtu avota kodu, varat to izdarīt nākamā saite.

Gatavs lejupielādei, tagad mēs izslēdzam paketi ar šādu komandu:

tar -xvf openssh-9.2.tar.gz

Mēs ievadām izveidoto direktoriju:

cd openssh-9.2

Y mēs varam apkopot ar šādas komandas:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install