Доступен OpenSSH 10.4
После трёх месяцев разработки опубликован выпуск OpenSSH 10.4, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные изменения:
Добавлена экспериментальная поддержка комбинированной схемы формирования цифровых подписей «mldsa44-ed25519», сочетающий постквантовый алгоритм ML-DSA 44 и алгоритм на базе эллиптических кривых Ed25519. Для включения поддержки следует добавить «mldsa44-ed25519» в директивы HostKeyAlgorithms и PubkeyAcceptedAlgorithms. Для генерации ключей можно использовать команду «ssh-keygen -t mldsa44-ed25519».
В ssh и sshd задействована новая реализация системы сопоставления по шаблону, основанная на недетерминированном конечном автомате и не подверженная проблеме экспоненциального роста сложности вычислений при использовании масок, содержащих много символов »*».
Изменено поведение Linux-сборок sshd с включённой фильтрацией системных вызовов при помощи seccomp. Ранее сбой при активации SECCOMP или NO_NEW_PRIVS на Linux-системах без их поддержки приводил к записи в лог предупреждения и продолжения работы без изоляции, а теперь станет приводить к аварийному завершению.
При использовании опции «sshd -G» в дамп конфигурации директивы теперь записываются с использованием прописных и строчных букв, вместо записи только строчными буквами (т.е. «PubkeyAuthentication» вместо «pubkeyauthentication»).
Поведение ssh и sshd приведено к соответствию стандарту RFC 4253: отправка во время повторного обмена ключами сообщений, не связанных с обменом ключами, теперь будет приводить к завершению соединения. Ранее злоумышленники могли устроить DoS-атаку, бесконечно отправляя в процессе обмена ключами сторонние сообщения, которые буферизировались на сервере и расходовали память.
Устранено несколько проблем с безопасностью:
В утилите ssh устранено потенциальное обращение к памяти после её освобождения (use-after-free) при обращении к вредоносному серверу. Проблема эксплуатируется через изменение хостового ключа в процессе повторного обмена ключами.
Уязвимость в sftp, позволяющая организовать загрузку файла в другую директорию при обращении к вредоносному серверу с использованием команды в форме «sftp host:/path .».
Уязвимость в scp, позволяющая при копировании файлов между двумя внешними серверами, один из которых подконтролен атакующему, организовать запись файлов в родительскую директорию, находящуюся на уровень ниже целевой директории.
Устранена проблема в sshd, проявляющаяся при использовании внутренней реализации SFTP-сервера («internal-sftp»), отключённой по умолчанию. Проблема связана с отсечением длинных последовательностей в командной строке после 9 аргумента, приводящей к отбрасыванию следующих аргументов. Таким образом потенциально могут быть отброшены опции, связанные с обеспечением безопасности.
В sshd устранена недоработка, из-за которой директива «DisableForwarding=yes» не отключала возможность создания туннелей, разрешённых опцией «PermitTunnel=yes» (по умолчанию не выставляется).
В sshd устранена проблема, которую можно использования для инициирования отказа в обслуживании на стадии до прохождения аутентификации при включении в настройках директивы GSSAPIAuthentication (отключена по умолчанию). Проблема не блокируется через лимит «MaxAuthTries», но подпадает под действие ограничения «PerSourcePenalties».
В sshd устранены недоработки, из-за которых не всегда добавлялась минимальная задержка между попытками аутентификации.
Источник: http://www.opennet.ru/opennews/art.shtml? num=65854
© OpenNet
