Megjelent az OpenSSH 10.4 több SSH-, SCP- és SFTP-specifikus biztonsági javítással

8/10
Az OpenSSH 10.4 több biztonsági sebezhetőségre hoz hibajavítást az SSH, SCP, SFTP és sshd területén.

Megjelent az OpenSSH 10.4, amely több biztonsági sebezhetőségre hoz hibajavítást az SSH, az SCP, az SFTP és az sshd működésében. A kiadás emellett szigorúbb protokollkezelést vezet be, valamint kísérleti támogatást nyújt egy posztkvantum irányba mutató, ML-DSA 44 és Ed25519 aláírásokat kombináló megoldáshoz.

Megjelent az OpenSSH 10.4 több SSH-, SCP- és SFTP-specifikus biztonsági javítással

Az egyik javítás az sftp klienst érinti. Egy támadó által kontrollált vagy manipulált szerver bizonyos esetekben elérhette, hogy a kliens nem a várt helyre töltsön le fájlokat, például az sftp host:/path típusú parancsok használatakor. Hasonló problémát javítottak az scp esetében is, ahol távoli gépek közötti másolásnál egy manipulált szerver a célkönyvtár szülőmappájába írhatott fájlokat.

Az sshd belső SFTP-megoldása is javítást kapott. Ez nem az alapértelmezett SFTP-szerver, de ahol ezt használják, ott gondot okozhatott, hogy a hosszú parancsok egy része figyelmeztetés nélkül lemaradt. A hiba akkor jelenthetett kockázatot, ha egy fontos beállítás a parancs végére került, mert ilyen esetben az sshd egyszerűen nem vette figyelembe.

A kiadás egy hitelesítés előtt kihasználható szolgáltatásmegtagadási sebezhetőséget is javít. Ez azokban a helyzetekben fordulhat elő, ahol engedélyezve van a GSSAPI-alapú hitelesítés. Ez alapértelmezetten nincs bekapcsolva, de vállalati környezetben vagy központi hitelesítést használó rendszereken előfordulhat. Emellett több olyan hibát is javítottak, ahol az sshd nem tartotta be megfelelően a sikertelen bejelentkezési próbálkozások közötti késleltetést.

Az OpenSSH 10.4 szigorúbban kezeli az SSH-kapcsolatok kulcscseréjét is. Az ssh és az sshd mostantól bontja a kapcsolatot, ha a másik fél kulcscsere közben olyan üzeneteket küld, amelyeknek ott nincs helyük. Ez csökkenti a hibás vagy támadásra használt SSH-megoldások által okozott felesleges memóriahasználatot, de néhány szabálytalanul működő implementációnál kompatibilitási problémát is okozhat.

A Rendszergazdáknak két változásra érdemes figyelniük. Az sshd -G kimenete mostantól nem csak kisbetűs beállításneveket használ, ami érintheti azokat a scripteket, amelyek ezt a kimenetet dolgozzák fel. Linuxon szigorodott a seccomp sandbox kezelése is: ha a szükséges biztonsági funkciók nem kapcsolhatók be, az sshd futása hibaüzenettel megszakad.

Újdonságként bekerült egy kísérleti aláírási megoldás is, amely az ML-DSA 44 és az Ed25519 kombinációjára épül. Ez alapértelmezésben nincs bekapcsolva, teszteléshez külön engedélyezni kell. A kiadás emellett lecserélte a wildcard minták kezelését egy hatékonyabb megoldásra, amely elkerüli a korábbi módszer legrosszabb esetben jelentkező nagy teljesítményvesztését.

Az OpenSSH 10.4 ezen felül sok kisebb hibát is javít az ssh-agent, a FIDO-kulcsok, az SFTP, az X11-csatornák, a PKCS#11 host kulcsok és a konfigurációfeldolgozás területén, valamint több memóriaszivárgást és összeomlást is megszüntet. További részletek a kiadási bejelentésben olvashatóak.