Релиз OpenSSH 10.302.04.2026 17:00

После полугода разработки опубликован выпуск OpenSSH 10.3, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные изменения:

  • Устранена уязвимость, позволяющая атакующему, контролирующему имя пользователя, передаваемое при запуске утилиты ssh, потенциально добиться выполнения произвольных shell-команд. Уязвимость проявляется в системах, использующих подстановку »%u» в некоторых директивах файла конфигурации, таких как «Match exec». Проблем вызвана проверкой спецсимволов в имени пользователя на стадии после выполнения %-подстановок в файле конфигурации ssh_config.

  • Устранена проблема с безопасностью в sshd, вызванная некорректным сопоставлением опции authorized_keys principals=» со списком имён (principal) в сертификате в ситуации, когда в именах указан символ »,». Для эксплуатации уязвимости необходимо, чтобы в опции authorized_keys principals=» было указано несколько имён и чтобы удостоверяющий центр выписал сертификат с несколькими именами, разделёнными запятой (обычно такое недопускается). Изменено поведение в отношении сертификатов с пустым именем — ранее пустое имя подпадало под все опции authorized_keys principals=», а теперь не подпадает.

  • В scp устранена проблема, из-за которой после загрузки файла с правами root с указанием опции »-O» и без опции »-p» не очищались флаги setuid/setgid.

  • В sshd исправлена проблема с обработкой ключей ECDSA в директивах PubkeyAcceptedAlgorithms и HostbasedAcceptedAlgorithms, из-за которой в случае указания любого алгоритма ECDSA (например, «ecdsa-sha2-nistp384») начинали приниматься и все остальные алгоритмы на базе ECDSA, даже если они явно не перечислены в списке допустимых.

  • В ssh и sshd при взаимодействии c SSH-агентами добавлена поддержка идентификаторов (codepoint), определённых IANA в спецификации draft-ietf-sshm-ssh-agent. Поддержка ранее используемых идентификаторов вида »@openssh.com» сохранена.

  • В ssh-agent реализовано расширение «query», определённое в спецификации draft-ietf-sshm-ssh-agent и позволяющее определить поддерживаемые агентом функции. Для запроса списка поддерживаемых расширений протокола через запрос «query» в утилиту ssh-add добавлена опция »-Q».

  • В sshd_config разрешено указание нескольких файлов в директиве RevokedKeys, а в ssh_config — в директиве RevokedHostKeys.

  • В ssh добавлена escape-команда »~I» и опция »-O conninfo» для показа информации о текущем соединении, а также опция »-O channels» для показа информация об открытых каналах.

  • В sshd в директиве PerSourcePenalties реализована опция 'invaliduser' для добавления задержки в случае попытки входа под несуществующим пользователем (по умолчанию 5-секунд). Добавлена возможность указания нецелых значений задержки.

  • В sshd добавлена опция GSSAPIDelegateCredentials для управления приёмом делегированных учётных данных, предоставленных клиентом.

  • В ssh-keygen добавлена поддержка записи ключей ED25519 в формате PKCS8.

  • Добавлена поддержка схемы цифровых подписей ed25519, реализованная через libcrypto.



Источник: http://www.opennet.ru/opennews/art.shtml? num=65126

© OpenNet