Проект OpenSSH объявил о выпуске версии OpenSSH 9.8, доступной для загрузки на официальных зеркалах. В этом выпуске исправлена критическая проблема (CVE-2024-6387), обнаруженная в портативных версиях OpenSSH с 8.5p1 по 9.7p1.
Уязвимость, потенциально позволявшая выполнить произвольный код с привилегиями root, особенно сильно затрагивала 32-битные Linux-системы с ASLR.
Хотя эксплойт не был продемонстрирован на 64-битных системах, такая возможность сохраняется, что повышает риск для систем без эффективной рандомизации компоновки адресного пространства (ASLR).
Еще одно ключевое исправление касалось логической ошибки в версиях 9.5-9.7, из-за которой функция ObscureKeystrokeTiming была неэффективна. Эта уязвимость могла позволить пассивному наблюдателю обнаружить нажатие клавиш, что представляло опасность, особенно при вводе конфиденциальной информации, например паролей.
OpenSSH планирует полностью отказаться от поддержки алгоритма подписи DSA к началу 2025 года. В этой версии ключи DSA уже отключены по умолчанию из-за присущих им недостатков и устаревшей технологии. Пользователи, которым требуется DSA, могут снова включить его с помощью специальных опций сборки, подробно описанных в примечаниях к выпуску.
Кроме того, в OpenSSH 9.8 появилась новая система штрафов в sshd, блокирующая адреса с подозрительным поведением, например, повторяющимися неудачными попытками аутентификации. Эта функция направлена на повышение безопасности за счет снижения риска атак методом грубой силы.
Помимо этих улучшений, обновление включает многочисленные исправления ошибок во всем наборе инструментов и несколько потенциально несовместимых изменений, таких как удаление некоторых устаревших функций и изменения в поведении сервера.
Наконец, в релизе также уделено внимание совместимости с системами и улучшениям сборки, что обеспечивает более широкую поддержку различных систем и конфигураций. В частности, улучшены возможности обнаружения конфигураций OpenSSL и внесены изменения в поддержку уведомлений для systemd в средах, которые ее используют.
Ознакомьтесь с анонсом релиза для получения подробной информации обо всех изменениях в OpenSSH 9.8