Разработчики OpenSSH анонсировали выход версии 10.3, которая включает в себя множество исправлений безопасности. Обновление затрагивает как новые, так и устаревшие уязвимости, включая критические ошибки, обнаруженные в оригинальном коде утилиты Berkeley rcp.
- Закрыты уязвимости в scp, sshd и других компонентах.
- Изменено поведение сертификатов с пустой секцией principals.
- Удалена поддержка устаревших SSH-реализаций без rekeying.
- Добавлены новые функции для улучшения безопасности и удобства использования.
Ключевые уязвимости и исправления
Одной из главных проблем стала уязвимость в команде scp, позволяющая сохранять права setuid и setgid при скачивании файлов от имени root. Это поведение унаследовано от ранних версий rcp. Ошибка была выявлена специалистом Христосом Папаконстантину.
В sshd также были выявлены ошибки в обработке ECDSA-ключей. При указании одного алгоритма, сервер принимал и другие, даже если они не были включены в конфигурацию. О проблеме сообщил Флориан Конхойзер.
Изменения в сертификатах и поддержка новых функций
Изменения коснулись и работы с сертификатами. Ранее сертификаты с пустой секцией principals позволяли аутентифицироваться под любым пользователем. Теперь такая секция рассматривается как отказ в доступе, что повышает безопасность.
Кроме того, обновление включает поддержку новых кодовых точек IANA для перенаправления ssh-agent и улучшения в ssh-keygen, позволяющие записывать ключи ED25519 в формате PKCS8. Также добавлена возможность диагностики соединений с помощью новых команд.
| Изменение | Описание |
|---|---|
| Уязвимости в scp | Не сбрасывались флаги setuid и setgid при скачивании файлов. |
| Ошибки в sshd | Неверная обработка ECDSA-ключей. |
| Сертификаты с пустой секцией | Теперь рассматриваются как отказ в доступе. |
Дополнительно, разработчики исправили ряд регрессий, таких как проблемы с вводом PIN-кода для PKCS#11-ключей и краши в ssh-keygen. Исходные коды доступны на официальном сайте OpenSSH.
Кроме того, Кибердом совместно с Yandex Cloud запускают анонимный опрос для специалистов в области информационной безопасности. Это поможет выявить реальные проблемы и подходы к эксплуатации систем безопасности.
Участники опроса получат возможность посетить форум «ИИ: режим доверия», который состоится 13 апреля с использованием специального промокода.