The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление OpenSSH 9.3 с устранением проблем с безопасностью

16.03.2023 09:20

Опубликован релиз OpenSSH 9.3, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранены проблемы с безопасностью:

  • В утилите ssh-add выявлена логическая ошибка, из-за которой при добавлении в ssh-agent ключей для смарткарт агенту не передавались ограничения, задаваемые при помощи опции "ssh-add -h". В итоге в агент добавлялся ключ, для которого не применялись ограничения, допускающие подключения только с определённых хостов.
  • В утилите ssh выявлена уязвимость, которая может привести к чтению данных из области стека вне выделенного буфера при обработке специально оформленных DNS-ответов, в случае включения в файле конфигурации настройки VerifyHostKeyDNS. Проблема присутствует во встроенной реализации функции getrrsetbyname(), которая применяется в переносимых версиях OpenSSH, собираемых без использования внешней библиотеки ldns (--with-ldns) и на системах со стандартными библиотеками, не поддерживающими вызов getrrsetbyname(). Возможность эксплуатации уязвимости, кроме как для инициирования отказа в обслуживании клиента ssh, оценивается как маловероятная.

Дополнительно можно отметить уязвимость во входящей в состав OpenBSD библиотеке libskey, которая используется в OpenSSH. Проблема присутствует с 1997 года и может привести к переполнению буфера в стеке при обработке специально оформленных имён хостов. Отмечается, что несмотря на то, что проявление уязвимости может быть инициировано удалённо через OpenSSH, на практике уязвимость бесполезна, так как для её проявления имя атакуемого хоста (/etc/hostname) должно содержать больше 126 символов, а буфер может быть переполнен только символами с нулевым кодом ('\0').

Среди не связанных с безопасностью изменений:

  • В ssh-keygen и ssh-keyscan добавлена поддержка параметра "-Ohashalg=sha1|sha256" для выбора алгоритма отображения слепков SSHFP.
  • В sshd добавлена опция "-G" для разбора и отображения активной конфигурации без попыток загрузки закрытых ключей и без выполнения дополнительных проверок, что позволяет проверять конфигурацию на стадии до генерации ключей и запускать проверку непривилегированными пользователями.
  • В sshd усилена изоляция на платформе Linux, использующая механизмы фильтрации системных вызовов seccomp и seccomp-bpf. В список разрешённых системных вызовов добавлены флаги к mmap, madvise и futex.


  1. Главная ссылка к новости (https://lists.mindrot.org/pipe...)
  2. OpenNews: Прогресс в создании эксплоита для OpenSSH 9.1
  3. OpenNews: Выпуск OpenSSH 9.2 с устранением уязвимости, проявляющейся на этапе до аутентификации
  4. OpenNews: В OpenBSD для sshd применена перекомпоновка во время загрузки
  5. OpenNews: Релиз OpenSSH 8.9 с устранением уязвимости в sshd
  6. OpenNews: Google опубликовал HIBA, надстройку над OpenSSH для авторизации на основе сертификатов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58801-openssh
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, Аноним (4), 09:36, 16/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я не понял, а это что, мажорный релиз лишь с багофиксами ? или всё же минорный, но почему тогда это не мини новость ?
     
     
  • 2.14, Аноним (14), 10:22, 16/03/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Потому что это целый OpenSSH, а не какая-то версия движка героев 2.
     

  • 1.17, Аноним (17), 11:09, 16/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В sshd добавлена опция "-G" для разбора и отображения активной конфигурации без попыток загрузки закрытых ключей

    интересно, почему именно такая буква? С чем должна быть ассоциация? Как обосновали?

     
     
  • 2.18, полуфрактал (?), 11:16, 16/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    похожа C (Current) которая занята
     
     
  • 3.27, Анонимусс (?), 17:32, 16/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Все хуже, там C и c отвечают разные команды - connection и certificate соответственно.
    146% что экономили буковки, вместо того сделать нормальные --connection и --certificate
     
     
  • 4.28, VladSh (?), 18:15, 16/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    'conn' и 'cert' возможно тоже было бы норм.
     
  • 2.19, Аноним (19), 11:50, 16/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Обязательно должна быть ассоциация?
     
     
  • 3.22, Аноним (17), 13:27, 16/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Необязательно. Для экономии ресурсов можно и переменные называть a,b,c,d,e. Все равно компилятору скармливать же.
     
  • 3.33, Аноним (33), 15:10, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Обязательно должна быть ассоциация?

    Если строк <10, условно, то имя переменной в одну букву может повысить скорость чтения.

    Если это опции утилиты ком.строки, а утилит этих тысячи, то желательно с ассоциацией и с длинными именами.

    Отчего длиные имена: например, у ping за число пингов отвечает -c или -n? "count" vs "number".

    Короче: людям нравятся логичные, понятные вещи и мало кто любит смешные ребусы на работе.

     
  • 2.21, Киска Клариссы Старлинг (?), 12:31, 16/03/2023 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 2.31, trolleybus (?), 14:17, 17/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно было обозначить A или a (active). И большая, и маленькая буквы свободные. А вот нет, все через G.
     

  • 1.23, annonn (?), 13:33, 16/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    спасибо людям которые фиксят баги 25+ летней выдержки
     
     
  • 2.24, Самый умный из вас (?), 14:37, 16/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пожалуйста.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру