Az OpenSSH 9.8 egy kritikus sérülékenységet javít az sshd-ben

Az OpenSSH projekt bejelentette az OpenSSH 9.8 verzió kiadását, amely letölthető a hivatalos tükrökről. Ez a kiadás egy kritikus problémát (CVE-2024-6387) javított, amely a Portable OpenSSH 8.5p1-től 9.7p1-ig terjedő verzióiban található.

Az OpenSSH 9.8 egy kritikus sérülékenységet javít az sshd-ben

A sebezhetőség, amely potenciálisan lehetővé teszi tetszőleges kód végrehajtását root jogosultságokkal, különösen a 32 bites Linux rendszereket érintette ASLR-rel.

Bár a kihasználás nem lett bemutatva 64 bites rendszereken, a lehetőség fennáll, növelve a kockázatot az olyan rendszereken, amelyek nem rendelkeznek a hatékony címterület elrendezésének véletlenszerűsítésével(ASLR).

Egy másik fontos javítás egy logikai hibára vonatkozik a 9.5-től 9.7-ig terjedő verziókban, amely miatt az ObscureKeystrokeTiming funkció hatástalan volt. Ez a sebezhetőség lehetővé tehette egy passzív megfigyelő számára a billentyűleütések észlelését, kockázatot jelentve különösen akkor, amikor érzékeny információkat, például jelszavakat adnak meg.

Az OpenSSH tervezi a DSA aláírási algoritmus támogatásának teljes megszüntetését 2025 elejéig. Ez a verzió már alapértelmezés szerint letiltotta a DSA kulcsokat azok inherens gyengeségei és elavult technológiája miatt. Azok a felhasználók, akik DSA-t továbbra is használni kívánják, újra engedélyezhetik azt a kiadási jegyzetekben részletezett speciális build opciók segítségével.

Továbbá az OpenSSH 9.8 bevezet az sshd-ben egy új büntetési rendszert, amely blokkolja azokat a címeket, amelyek gyanús viselkedést mutatnak, például ismételt sikertelen hitelesítési kísérletek esetén. Ez a funkció a biztonság fokozását célozza, csökkentve a brute-force támadások kockázatát.

Ezek mellett a frissítés számos hibajavítást tartalmaz az eszközkészlet egészében és néhány potenciálisan inkompatibilis változást, mint például bizonyos elavult funkciók eltávolítását és a szerver viselkedésének megváltoztatását.

Végül, a kiadás a rendszerkompatibilitásra és a build fejlesztésekre is összpontosít, biztosítva a szélesebb körű támogatást a különböző rendszerek és konfigurációk számára. Különösen javítja az OpenSSL konfigurációk észlelési képességeit, és bevezet változásokat a systemd értesítések támogatásához az ezt használó környezetekben.

További információkért az OpenSSH 9.8 összes változásáról tekintsd meg a kiadási bejelentést.