Представлен релиз OpenSSH 8.1

Представлен релиз OpenSSH 8.1

В новом выпуске исправлена уязвимость, затрагивающая компоненты ssh, sshd, ssh-add и ssh-keygen.

image

Разработчики программного пакета OpenSSH представили релиз OpenSSH 8.1. Помимо основных изменение, в новом выпуске исправлена уязвимость, затрагивающая компоненты ssh, sshd, ssh-add и ssh-keygen.

Уязвимость содержится в коде парсинга закрытых ключей с типом XMSS. Ее эксплуатация позволяет злоумышленнику запустить целочисленное переполнение. Уязвимость отмечена как эксплуатируемая, но малоприменимая, поскольку поддержка ключей типа XMSS является экспериментальной и отключена по умолчанию. В портативной версии в autoconf нет опции для включения XMSS.

Среди основных изменений стоит выделить добавление кода в ssh, sshd и ssh-agent компоненты, который зашифровывает приватные ключи и препятствует их восстановлению в оперативной памяти в результате атак по сторонним каналам (Spectre, Meltdown, RowHammer и RAMBleed), добавление в ssh-keygen экспериментальной поддержки упрощенной схемы создания и подтверждения цифровых подписей и возможности применения флага "-v" при выполнении операций поиска ключей (для вывода наглядной подписи хоста), а также добавление возможности использовать PKCS8 как опциональный формат для хранения приватных ключей на диске.

OpenSSH представляет свободно распространяемую версию семейства инструментов для удаленного управления компьютерами и передачи файлов с использованием протокола безопасной оболочки (SSH). OpenSSH предоставляет сервис на сервере и клиентские приложения для облегчения операций защиты, зашифрованного удаленного управления и передачи файлов, эффективно заменяя устаревшие инструменты.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.