The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз OpenSSH 8.9 с устранением уязвимости в sshd

24.02.2022 15:46

После шести месяцев разработки представлен релиз OpenSSH 8.9, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии в sshd устранена уязвимость, потенциально позволяющая получить доступ без аутентификации. Проблема вызвана целочисленным переполнением в коде аутентификации, но эксплуатация возможна только в сочетании с другими логическими ошибками в коде.

В текущем виде уязвимость не эксплуатируема при включении режима разделения привилегий, так как её проявление блокируют отдельные проверки, выполняемые в коде отслеживания разделения привилегий. Режим разделения привилегий активирован по умолчанию в 2002 году, начиная с OpenSSH 3.2.2, и является обязательным начиная с выпуска OpenSSH 7.5, опубликованного в 2017 году. Кроме того, в переносимых версиях OpenSSH начиная с выпуска 6.5 (2014 год) уязвимость блокируется компиляцией с включением флагов защиты от целочисленных переполнений.

Другие изменения:

  • В переносимой версии OpenSSH в sshd удалена встроенная поддержка хэширования паролей с использованием алгоритма MD5 (для возвращения допускается связывание с внешними библиотеками, такими как libxcrypt).
  • В ssh, sshd, ssh-add и ssh-agent реализована подсистема для ограничения пересылки и использования ключей, добавленных в ssh-agent. Подсистема позволяет задавать правила, определяющие как и где можно использовать ключи в ssh-agent. Например, для добавления ключа, который может быть использован только для проведения аутентификации при подключении любого пользователя к хосту scylla.example.org, пользователя perseus к хосту cetus.example.org и пользователя medea к хосту charybdis.example.org с перенаправлением через промежуточный хост scylla.example.org, можно использовать следующую команду:
    
       $ ssh-add -h "perseus@cetus.example.org" \
              -h "scylla.example.org" \
              -h "scylla.example.org>medea@charybdis.example.org" \
              ~/.ssh/id_ed25519
    
  • В ssh и sshd в список KexAlgorithms, определяющий порядок выбора методов обмена ключами, по умолчанию добавлен гибридный алгоритм "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime), стойкий к подбору на квантовых компьютерах. В версии OpenSSH 8.9 данный метод согласования добавлен между методами ECDH и DH, но в следующем выпуске его планируют задействовать по умолчанию.
  • В ssh-keygen, ssh и ssh-agent улучшена обработка ключей FIDO-токенов, используемых для верификации устройства, включая ключи для биометрической аутентификации.
  • В ssh-keygen добавлена команда "ssh-keygen -Y match-principals" для проверки имён пользователей в файле со списком разрешённых имён.
  • В ssh-add и ssh-agent предоставлена возможность добавления в ssh-agent FIDO-ключей, защищённых PIN-кодом (запрос PIN выводится в момент аутентификации).
  • В ssh-keygen разрешён выбор алгоритма хэширования (sha512 или sha256) во время формирования подписи.
  • В ssh и sshd для повышения производительности обеспечено чтение сетевых данных напрямую в буфер входящих пакетов, минуя промежуточную буферизацию в стеке. Аналогично реализовано прямое помещение получаемых данных в канальный буфер.
  • В ssh в директиве PubkeyAuthentication расширен список поддерживаемых параметров (yes|no|unbound|host-bound) для предоставления возможности выбора варианта используемого расширения протокола.

В одном из следующих выпусков планируется перевести по умолчанию утилиту scp на использование SFTP вместо устаревшего протокола SCP/RCP. В SFTP применяются более предсказуемые методы обработки имён и не используется обработка glob-шаблонов в именах файлов через shell на стороне другого хоста, создающая проблемы с безопасностью. В частности, при применении SCP и RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов, что в случае отсутствие должных проверок на стороне клиента позволяет серверу передать другие имена файлов, отличающиеся от запрошенных. Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как "~/". Для устранения данного различия в прошлом выпуске OpenSSH в реализации SFTP-сервера было предложено новое расширение протокола SFTP для раскрытия путей ~/ и ~user/.

  1. Главная ссылка к новости (https://lists.mindrot.org/pipe...)
  2. OpenNews: Релиз OpenSSH 8.8 с отключением поддержки цифровых подписей rsa-sha
  3. OpenNews: GitHub заблокировал SSH-ключи, сгенерированные при помощи библиотеки keypair
  4. OpenNews: Google опубликовал HIBA, надстройку над OpenSSH для авторизации на основе сертификатов
  5. OpenNews: Уязвимость в libssh, приводящая к переполнению буфера
  6. OpenNews: LazySSH, SSH-сервер для запуска временных виртуальных машин
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56751-openssh
Ключевые слова: openssh, ssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 16:00, 24/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ошибку как обычно исправили только в опенбсд?
     
     
  • 2.2, Аноним (2), 16:10, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А у тебя что не OpenBSD?
     
     
  • 3.5, Аноним (5), 16:23, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет конечно. Если там даже sshd пускает без аутентификации, то уж про остальное и говорить страшно.
     
     
  • 4.9, Аноним (9), 16:35, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >не эксплуатируема
    >пускает

    Л - логика.

     
     
  • 5.26, Аноним (26), 19:32, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Л - логика.

    нейросетям комментаторов не знакомо слово логика.
    потому минусуют.

     
  • 4.18, Аноним (18), 17:52, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так тебе не и над ты или сидишь на опенбсд или сидишь с дырой.
     
  • 2.21, Аноним (21), 18:22, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А можно пример где OpenSSH патчили что либо исключительно под опенбсд?
     
  • 2.37, Аноним (37), 02:05, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Четные выпуски для OpenBSD, например 8.8, 8.6, 8,4 ...
    Нечетные выпуски для остальных ОС, например 8.9, 8.7, 8.5 ...
    Здесь выпуск 8.9, значит, ошибки исправлены для всех остальных ОС.
     

  • 1.3, Аноним (-), 16:13, 24/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > позволяющая получить доступ без аутентификации

    А вы так стеночку и в магазине убрать можете? :)

     
     
  • 2.30, Аноним (-), 19:45, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > потенциально позволяющая получить доступ без аутентификации.

    потенциально стеночку везде убрать можно.
    а на практике можно серьёзно огрести и надолго сесть.

     

  • 1.6, Аноним (5), 16:24, 24/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А CVE ID эти сторонники security by obscurity получить не удосужились?
     
     
  • 2.8, YetAnotherOnanym (ok), 16:35, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Надо отложить исправление, пока не прочухается какой-то левый дядя?
     
     
  • 3.20, Аноним (5), 18:14, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    CVE выдают очень оперативно. Именно потому, что никто не хочет затягивать из-за этого с исправлениями.
     
     
  • 4.23, пох. (?), 18:38, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, очень оперативно, еще до того как дырень найдут.

    Мне только неочевидно - почему за это еще не берут денег? Причем с регулярной оплатой, как за айпишники - а то ваши Cve не ваши, и уже переданы в microsoft!

     
  • 3.22, пох. (?), 18:36, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Смеешься что-ли? Так сейчас не принято.

    Уважающие себя пацаны резервируют себе этих номерков заранее целую пачку (а баги - найдутся!)

     

  • 1.17, Аноним (18), 17:49, 24/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А если бы писали на Хаскеле?
     
     
  • 2.25, Аноним (-), 18:46, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тогда вместо желтого фона имели бы желтые стены и не могли бы спамить на форумы.
     
     
  • 3.45, Аноним (45), 11:52, 26/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как ты жестко про любителей RUST'a
     

  • 1.19, Аноним (21), 17:58, 24/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Only 2 remote holes in the default install")
     
     
  • 2.24, Аноним (-), 18:45, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    i++;
     
  • 2.35, Аноним (-), 22:11, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > "Only 2 remote holes in the default install")

    Не стесняйся, расскажи, какие буквы в

    > В текущем виде уязвимость не эксплуатируема при включении режима разделения привилегий,
    > ...
    > Режим разделения привилегий активирован по умолчанию в 2002 году, начиная OpenSSH 3.2.2, и является обязательным начиная с выпуска OpenSSH 7.5, опубликованного в 2017 году.

    тебе не понятны?

     
     
  • 3.36, Аноним (21), 22:42, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это шутка, на то что всегда им как то удается избежать дыр из за того что на
    каждом этапе дополнительные проверки, от кода до компилятора.
    За почти 30 лет 2 дыры, при чём проект не на пару строк - удивительно, респект.
     
     
  • 4.38, Аноним (-), 12:45, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то им было бы давно пора упростить свою штуку раз в двадцать. Как раз вот поэтому. Чтобы не получалось так что многоходовкой через 20 исторических наслоений оно все же ведется на какой-то трюк - опа - добро пожаловать.
     
     
  • 5.43, Аноним (5), 15:41, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    "Кручу-верчу - обмануть хочу"

    Наводит на мысли, что это сделано специально, чтобы максимально затруднить выявление бэкдоров.

     

  • 1.28, Аноним (28), 19:40, 24/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > _потенциально_ позволяющая получить

    "потенциально" означает здесь "очень сильно в теории, если допустить выполнение всяких специфических условий".

    к сожалению, не только лишь каждый комментатор умеет думать настолько длинно.
    поэтому слово "потенциально" просто пропускается, от чего рождаются сверхинтеллектуальные дискуссии местных мегамозгов.

     
     
  • 2.34, Аноним (34), 21:37, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Безопасность давно превратилась в цирк на котором ушлые дилетанты набивают себе цитируемость и значимость своих статей и "открытий".
     
     
  • 3.39, Аноним (-), 12:46, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А еще более ушлые господа набивают свои карманы чужими пиастрами. Догадайтесь кто оплачивает это шоу?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру