[ON] Доступен OpenSSH 10.4

Обсуждение новостей, соответствующих тематике форума

Модератор: Модераторы разделов

Аватара пользователя
rssbot
Бот
Сообщения: 6000
ОС: gnu/linux

[ON] Доступен OpenSSH 10.4

Сообщение rssbot »

После трёх месяцев разработки опубликован выпуск OpenSSH 10.4, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные изменения:
  • Добавлена экспериментальная поддержка комбинированной схемы формирования цифровых подписей "mldsa44-ed25519", сочетающий постквантовый алгоритм ML-DSA 44 и алгоритм на базе эллиптических кривых Ed25519. Для включения поддержки следует добавить "mldsa44-ed25519" в директивы HostKeyAlgorithms и PubkeyAcceptedAlgorithms. Для генерации ключей можно использовать команду "ssh-keygen -t mldsa44-ed25519".
  • В ssh и sshd задействована новая реализация системы сопоставления по шаблону, основанная на недетерминированном конечном автомате и не подверженная проблеме экспоненциального роста сложности вычислений при использовании масок, содержащих много символов "*".
  • Изменено поведение Linux-сборок sshd с включённой фильтрацией системных вызовов при помощи seccomp. Ранее сбой при активации
    SECCOMP или NO_NEW_PRIVS на Linux-системах без их поддержки приводил к записи в лог предупреждения и продолжения работы без изоляции, а теперь станет приводить к аварийному завершению.
  • При использовании опции "sshd -G" в дамп конфигурации директивы теперь записываются с использованием прописных и строчных букв, вместо записи только строчными буквами (т.е. "PubkeyAuthentication" вместо "pubkeyauthentication").
  • Поведение ssh и sshd приведено к соответствию стандарту RFC 4253: отправка во время повторного обмена ключами сообщений, не связанных с обменом ключами, теперь будет приводить к завершению соединения. Ранее злоумышленники могли устроить DoS-атаку, бесконечно отправляя в процессе обмена ключами сторонние сообщения, которые буферизировались на сервере и расходовали память.





Устранено несколько проблем с безопасностью:
  • В утилите ssh устранено потенциальное обращение к памяти после её освобождения (use-after-free) при обращении к вредоносному серверу. Проблема эксплуатируется через изменение хостового ключа в процессе повторного обмена ключами.
  • Уязвимость в sftp, позволяющая организовать загрузку файла в другую директорию при обращении к вредоносному серверу с использованием команды вида "sftp host:/path .".
  • Уязвимость в scp, позволяющая при копировании файлов между двумя внешними серверами, один из которых подконтролен атакующему, организовать запись файлов в родительскую директорию, находящуюся на уровень ниже целевой директории.
  • Устранена проблема в sshd, проявляющаяся при использовании внутренней реализации SFTP-сервера ("internal-sftp"), отключённой по умолчанию. Проблема связана с отсечением длинных последовательностей в командной строке после 9 аргумента, приводящей к отбрасыванию следующих аргументов. Таким образом потенциально могут быть отброшены опции, связанные с обеспечением безопасности.
  • В sshd устранена недоработка, из-за которой директива "DisableForwarding=yes" не отключала возможность создания туннелей, разрешённых опцией "PermitTunnel=yes" (по умолчанию не выставляется).
  • В sshd устранена проблема, которую можно использования для инициирования отказа в обслуживании на стадии до прохождения аутентификации при включении в настройках директивы GSSAPIAuthentication (отключена по умолчанию). Проблема не блокируется через лимит "MaxAuthTries", но подпадает под действие ограничения "PerSourcePenalties".
  • В sshd устранены недоработки, из-за которых не всегда добавлялась минимальная задержка между попытками аутентификации.





Источник: https://www.opennet.ru/opennews/art.shtml?num=65854
(opennet.ru, основная лента)
Последний раз редактировалось rssbot 07.07.2026 08:37, всего редактировалось 1 раз.
Причина: Updated upstream
Спасибо сказали: