Megjelent az OpenSSH 10.4: biztonsági javítások, post-quantum aláírások és SSH hardening fejlesztések

OpenSSH 10.4

Megjelent az OpenSSH 10.4, amely több fontos biztonsági javítást, protokollszintű megerősítést és kísérleti post-quantum kriptográfiai támogatást hoz.

Az OpenSSH a világ egyik legszélesebb körben használt SSH-megvalósítása, amely Linux, Unix, BSD, macOS, felhős környezetek, hálózati eszközök és vállalati rendszerek millióin biztosít távoli adminisztrációt.

Nyolc biztonsági javítás érkezett

Az OpenSSH 10.4 összesen nyolc biztonsági problémát javít az SSH ökoszisztéma több komponensében, köztük:

  • sshd;
  • ssh;
  • scp;
  • sftp;
  • ssh-agent;
  • kriptográfiai ellenőrző rutinok.

A hibák többsége nem minősül könnyen tömegesen kihasználható sérülékenységnek, de a frissítés fontos hardening fejlesztéseket tartalmaz.

SFTP hiba: rossz helyre kerülhettek a letöltött fájlok

Az egyik javítás az SFTP klienst érinti.

Egy rosszindulatú vagy kompromittált SFTP szerver bizonyos esetekben manipulálhatta a célútvonalat, így a letöltött fájl nem oda kerülhetett, ahová a felhasználó várta.

Ez különösen automatizált fájlátviteli folyamatoknál okozhatott problémát.

SCP directory traversal javítás

Az SCP esetében egy olyan hibát javítottak, amely két távoli hoszt közötti másolás során lehetővé tehette, hogy egy rosszindulatú szerver a fájlokat a célkönyvtár helyett annak szülőkönyvtárába írassa.

A frissítés szigorúbb útvonal-ellenőrzést vezet be, csökkentve a fájl-felülírási és automatizációs kockázatokat.

SSH szerver oldali hardening

Az OpenSSH 10.4 több sshd oldali javítást is tartalmaz.

Fontosabb változások:

  • az internal-sftp már nem hagy figyelmen kívül hosszabb parancsargumentumokat;
  • a DisableForwarding mostantól megfelelően felülírja a PermitTunnel beállítást;
  • javították a GSSAPIAuthentication használata melletti pre-authentication DoS lehetőséget;
  • megbízhatóbb lett az autentikációs próbálkozások közötti késleltetés;
  • pontosították az Active Directory környezetekre vonatkozó dokumentációt.

Ezek főként vállalati, Kerberos-, Active Directory- vagy SSO-integrált környezetekben lehetnek fontosak.

SSH kliens use-after-free hiba javítása

Az SSH kliensben javítottak egy use-after-free típusú memóriahibát is.

A probléma akkor jelentkezhetett, ha egy távoli szerver kulcscsere közben váratlanul megváltoztatta a host key-t.

A hiba kihasználásához rosszindulatú vagy kompromittált szerverre lett volna szükség, de a memóriahibák javítása kiemelten fontos, mert ezek későbbi exploitláncok építőelemei lehetnek.

Kísérleti post-quantum aláírástámogatás

Az OpenSSH 10.4 egyik legfontosabb újdonsága a kísérleti hibrid post-quantum digitális aláírás támogatás.

Az új algoritmus két elemet kombinál:

  • ML-DSA-44 post-quantum aláírási algoritmus;
  • Ed25519 klasszikus elliptikus görbés aláírás.

A hibrid megoldás célja, hogy egyszerre támaszkodjon a jelenleg megbízható klasszikus kriptográfiára és a jövőbeli kvantumszámítógépes támadásokkal szemben ellenálló algoritmusokra.

A funkció alapértelmezetten nincs bekapcsolva, mert még kísérleti állapotú.

Miért fontos a post-quantum kriptográfia?

Bár gyakorlati, nagy skálán használható kvantumszámítógépek még nem állnak rendelkezésre, a kiberbiztonsági szakértők már most készülnek az úgynevezett harvest now, decrypt later fenyegetésre.

Ennek lényege, hogy a támadók ma titkosított adatokat gyűjtenek, majd később, fejlettebb kvantumszámítógépek birtokában próbálják visszafejteni azokat.

Az OpenSSH már korábban is kísérletezett post-quantum kulcscsere-megoldásokkal, most pedig a digitális aláírások területén is megjelent az első ilyen fejlesztés.

Új wildcard matching motor

Az OpenSSH fejlesztői lecserélték a wildcard matching implementációt is.

A korábbi algoritmus bizonyos speciálisan kialakított mintáknál extrém rossz teljesítményt produkálhatott. Az új, NFA-alapú megoldás kiszámíthatóbb működést és jobb DoS-ellenállást biztosít.

További javítások

Az OpenSSH 10.4 több kisebb, de fontos javítást is tartalmaz:

  • sftp out-of-bounds read javítások;
  • numerikus user és group ID-k helyes megjelenítése;
  • erősebb Ed25519 publikus kulcs validáció;
  • aláírási malleability elleni védelem;
  • ssh-agent erőforrás-kimerítési kockázatának csökkentése.

Adminisztrátori figyelmet igénylő változások

A frissítés után egyes környezetekben konfigurációs vagy automatizációs módosításokra lehet szükség.

Például az sshd -G kimenete mostantól vegyes kis- és nagybetűs direktívaneveket használ, ami érintheti azokat a scripteket, amelyek programozottan elemzik az SSH-konfigurációkat.

Linux rendszereken a seccomp sandbox használata is szigorodott: ha a rendszer nem tudja engedélyezni a szükséges biztonsági funkciókat, az OpenSSH hibával leállhat ahelyett, hogy csendben tovább futna.

Szigorúbb rekey protokollkezelés

Az OpenSSH 10.4 a kulcsújragenerálási folyamatot is szigorítja.

A korábbi verziók bizonyos nem várt üzeneteket még elfogadtak rekey közben. Az új verzió megszakítja a kapcsolatot, ha a peer nem megfelelő protokollviselkedést mutat.

Ez csökkenti az erőforrás-kimerítési támadások lehetőségét.

Összegzés

Az OpenSSH 10.4 fontos biztonsági frissítés, amely több kliens-, szerver-, fájlátviteli és kriptográfiai hibát javít.

A kiadás nemcsak aktuális sérülékenységeket kezel, hanem hosszabb távú biztonsági irányokat is kijelöl a post-quantum aláírások bevezetésével.

A Linux, Unix, BSD, macOS, felhős és vállalati környezeteket üzemeltető rendszergazdáknak érdemes mielőbb tesztelni és telepíteni az új verziót.

Az oldal tartalma nem másolható!