Az OpenSSH 10.4 több biztonsági hibát foltoz be SSH-ben, SCP-ben és SFTP-ben

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

Megjelent az OpenSSH 10.4, amely biztonsági javításokat, szigorúbb protokollkezelést és a poszt-kvantum kriptográfia kezdeti támogatását hozza. Az egyik javítás egy sftp problémát érint, ahol egy rosszindulatú szerver elérhette, hogy a fájlok nem a kívánt helyre töltődjenek le olyan parancsok használatakor, mint az „sftp host:/path .”.

Ehhez kapcsolódó javítás érkezett az scp-hez is: az OpenSSH most már megakadályozza, hogy egy rosszindulatú szerver a célkönyvtár szülőkönyvtárába írjon fájlokat, amikor két távoli gép között másolunk.

Egy másik biztonsági javítás az sshd internal-sftp megvalósítását érinti. Ez nem az alapértelmezett SFTP szerver, de ha használják, eddig a hosszú parancssorokat a kilencedik argumentum után csendben levágta. Ez biztonsági szempontból is veszélyes lehetett, ha egy fontos opció a tizedik vagy későbbi argumentumként szerepelt, mert egyszerűen eldobta.

Az OpenSSH 10.4 egy lehetséges, hitelesítés előtti szolgáltatásmegtagadási problémát is megold sshd-ben, amikor a GSSAPIAuthentication engedélyezve van. Bár ez a funkció alapértelmezés szerint ki van kapcsolva, a javítás fontos azoknak a környezeteknek, amelyek GSSAPI-alapú hitelesítést használnak.

Emellett a kiadás több olyan esetet is javít, amikor az sshd nem érvényesítette megfelelően a minimális hitelesítési késleltetést, és megold egy lehetséges kliens oldali use-after-free hibát az ssh-ben, ha a szerver kulcscserénél megváltoztatja a host kulcsát.

A biztonsági javításokon túl az OpenSSH 10.4 szigorúbb SSH transport protokoll viselkedést kényszerít ki. Az ssh és az sshd mostantól bontja a kapcsolatot azokkal a partnerekkel, amelyek nem kulcscseréhez tartozó üzeneteket küldenek a hitelesítés utáni kulcscsere során.

Korábban a rosszindulatú partnerek büntetlenül küldhettek ilyen üzeneteket, ami felesleges memóriahasználathoz vezetett. Érdemes észben tartani, hogy a nem szabványos SSH megvalósítások, amelyek nem korlátozzák az üzeneteket kulcscsere közben, mostantól bontást kaphatnak.

Rendszergazdáknak szóló, esetleg inkompatibilis változásból is van néhány. Először is, az „sshd -G”, amely a tényleges szerver konfigurációt írja ki, mostantól vegyes kis- és nagybetűvel jeleníti meg a direktívaneveket, például „PubkeyAuthentication”, a korábbi, csak kisbetűs formák helyett. Ez érintheti azokat a scripteket, amelyek az outputját elemzik.

Másodszor, Linux rendszereken, ahol seccomp sandboxot használnak, a SECCOMP vagy a NO_NEW_PRIVS engedélyezésének sikertelensége mostantól végzetes hiba. Korábban az sshd csak naplózta a hibát, és futott tovább. Azoknak a rendszereknek, amelyek nem támogatják ezeket a funkciókat, mostantól a sandboxot kell letiltaniuk fordításkor.

Funkciók szempontjából az OpenSSH 10.4 legérdekesebb újdonsága a kompozit poszt-kvantum aláírási séma kísérleti támogatása, amely az ML-DSA 44-et és az Ed25519-et kombinálja. Ez azonban nem engedélyezett alapértelmezés szerint. Akik tesztelni szeretnék, azoknak kifejezetten fel kell venniük olyan opciókba, mint a HostKeyAlgorithms vagy a PubkeyAcceptedAlgorithms.

Az OpenSSH lecserélte a wildcard mintaillesztőjét is egy nem-determinisztikus véges automata megvalósításra, amely elkerüli az előző illesztő exponenciális legrosszabb esetű viselkedését.

Ahogy várható volt, a kiadás hosszú hibajegyzéket is tartalmaz. Többek között javítások érkeztek az ssh-agent kiterjesztés-lekérdezéseire, a nem támogatott FIDO resident kulcstípusok jobb kezelésére, a transport állapot szigorúbb ellenőrzésére az sshd privilégiumszétválasztott alfolyamatai között, sftp out-of-bounds olvasásokra, valamint a konfigurációs fájlokban szereplő érvénytelen cipher- vagy MAC-listák körüli működésre.

További változások foglalkoznak összeomlásokkal, memória-szivárgásokkal, konfiguráció-elemzéssel, X11 csatornakezeléssel, PKCS#11 host kulcs kezelésével és különféle hordozhatósági frissítésekkel.

További részletekért nézd meg a kiadási megjegyzéseket.