Выпуск Dropbear SSH 2026.90 с устранением уязвимостей

04.05.2026 12:32 (MSK)

Опубликован выпуск проекта Dropbear 2026.90, развивающего сервер и клиент SSH, получивший распространение в беспроводных маршрутизаторах и компактных дистрибутивах, подобных OpenWrt. Dropbear отличается низким потреблением памяти, возможностью отключения лишней функциональности на этапе сборки и поддержкой сборки клиента и сервера в одном исполняемом файле по аналогии с busybox. При статическом связывании с uClibc исполняемый файл Dropbear занимает всего 110kB. Dropbear поддерживает перенаправление X11, совместим с файлом ключей OpenSSH (~/.ssh/authorized_keys) и может создавать мультисоединения с пробросом через транзитный хост. Код проекта написан на языке Си и распространяется под лицензией, близкой к MIT.

В новой версии исправлено несколько проблем с безопасностью:

Неполное устранение в scp уязвимости (CVE-2019-6111), позволяющей перезаписать другие файлы при подключении к вредоносному серверу. При применении scp сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов. Проверка на стороне клиента блокирует выход за границы текущего каталога ("../"), но в случае рекурсивного копирования (-r) не учитывает случаи передачи каталогов с именами, отличающимися от изначально запрошенных. Проблема решена через запрет использовании опции "-r" с уже существующим целевым каталогом.
Уязвимость (CVE-2026-35385) в утилите scp, из-за которой после загрузки файла с правами root с указанием опции "-O" и без опции "-p" не очищались флаги setuid/setgid.
Возможность обхода выполнения команды "forced_command" в настройках authorized_keys при подключении аутентифицированного пользователя с использованием опции "-t" (вход с проверкой пароля и открытого ключа).
Отказ в обслуживании через создание локальным пользователем спецфайла с именем authorized_keys, блокирующим операции чтения.
Чтение данных из области вне буфера при создании обработчиков перенаправления клиентских и серверных запросов, что может привести к закрытию произвольных файловых дескрипторов.

Не связанные с безопасностью изменения:

В ssh добавлена опция "-R" для пробрасывания unix-сокетов через SSH-туннель.
В ssd добавлена опция "-M" для ограничения максимальной продолжительности сеанса.
В "authorized_keys" добавлен опция "permitlisten" для ограничения допустимых портов.
Прекращена поддержка RSA-ключей, созданных в dropbearkey 0.32 или более ранних версиях данной утилиты, подверженных атаке по сторонним каналам, оценивающей разницу во времени обработки данных, попавших и не попавших в кэш.
Для блокирования перебора открытых ключей на хостах число запросов открытых ключей ограничено 15 попытками для каждого сеанса.

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65356-dropbear

Ключевые слова: dropbear, ssh

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (17)

1.1, Аноним (1), 12:56, 04/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Когда уже rust-ssh?

2.2, Аноним (2), 12:59, 04/05/2026 [^] [^^] [^^^] [ответить]	+/–
> не очищались флаги setuid/setgid Думаешь, осилят такое?

3.5, Аноним (5), 13:05, 04/05/2026 [^] [^^] [^^^] [ответить]	+/–
Так источников для переписывания достаточно.

2.3, Аноним (3), 13:03, 04/05/2026 [^] [^^] [^^^] [ответить]	+/–
да уже https://github.com/Eugeny/russh

3.4, Аноним (1), 13:05, 04/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
https://github.com/Eugeny/russh#unsafe-code хотелось бы без unsafe)

4.6, Аноним (1), 13:06, 04/05/2026 [^] [^^] [^^^] [ответить]	+/–
И без ДРАМЫ https://github.com/Eugeny/russh/issues/151

4.12, Аноним (12), 13:47, 04/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
без unsafe горазды только тролить сишных дидoв

3.16, Аноним (2), 14:16, 04/05/2026 [^] [^^] [^^^] [ответить]	+/–
> russh И содрогнутся все от Zerg rush!

1.7, Аноним (7), 13:17, 04/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
>Dropbear поддерживает перенаправление X11 Зачем это нужно в 2026 году, с учётом того, что во-первых любое приложение с графикой сложнее xterm, даже qterminal с векторными шрифтами и сглаживанием через него тормозит, во-вторых приличное количество приложений не запускаются вообще, в-третьих, при разрыве связи, приложение просто падает?

2.8, Аноним (1), 13:21, 04/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Легаси.

2.9, Alladin (?), 13:33, 04/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
если у тебя сеть не меньше 10 мбит то ничего не тормозит, и да активно используем

3.10, жЫр с монитора (?), 13:43, 04/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Да ладно? Оно и на гигабите тормозит, если не в локальной сети.

3.11, Аноним (1), 13:44, 04/05/2026 [^] [^^] [^^^] [ответить]	+/–
Локалка или через интернет? Кстати, для Wayland есть waypipe.

4.13, Аноним (7), 13:49, 04/05/2026 [^] [^^] [^^^] [ответить]	+/–
>Локалка или через интернет? Тормозит даже в локальной сети. Откройте krita и попробуйте порисовать.

4.17, Аноним (2), 14:17, 04/05/2026 [^] [^^] [^^^] [ответить]	+/–
> для Wayland есть waypipe. Есть-то есть, ещё бы работал.

2.14, Аноним (-), 13:53, 04/05/2026 [^] [^^] [^^^] [ответить]	+/–
Начнём с того, что нужно использовать примитивы предоставляемые окружением, а не в битмапы рендерить. Закончим тем, что пробрасывать х11 предполагалось в сети предприятия, а не через интернет, и, если и здесь у вас разрывы, то может стоит порядок навести для начала?

3.15, Аноним (7), 14:08, 04/05/2026 [^] [^^] [^^^] [ответить]

+/–

>Начнём с того, что нужно использовать примитивы предоставляемые окружением, а не в битмапы рендерить.

Какие примитивы, html? Свой велосипед делать? Или вы предлагаете довольствоваться уровнем графики xterm, xclock и подобного?
>Закончим тем, что пробрасывать х11 предполагалось в сети предприятия

Я тестировал проброс в пределах одной квартиры, всё равно тормозит.
>и, если и здесь у вас разрывы

И отказаться, например, от ноутбуков.

Добавить комментарий

Текст: