Опубликован релиз OpenSSH 8.6, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранена уязвимость в реализации директивы LogVerbose, появившейся в прошлом выпуске и позволяющей поднять уровень сбрасываемой в лог отладочной информации, в том числе реализовать возможность фильтрации по шаблонам, функциям и файлам, связанным с кодом, выполняемым со сброшенными привилегиями в процессе sshd, изолированном в sandbox-окружении.
Атакующий, добившийся получения контроля за непривилегированным процессом при помощи какой-то ещё не известной уязвимости, может использовать связанную с LogVerbose проблему для обхода sandbox-изоляции и совершения атаки на процесс, выполняемый с повышенными привилегиями. Применение уязвимости в LogVerbose на практике оценивается как маловероятное, так как настройка LogVerbose по умолчанию отключена и обычно используется только во время отладки. Также для атаки требуется найти новую уязвимость в непривилегированном процессе.
Изменения в OpenSSH 8.6, не связанные с уязвимостью:
- В sftp и sftp-server реализовано новое расширение протокола “[email protected]”, дающее возможность SFTP-клиенту получить сведения об установленных на сервере ограничениях, включая лимиты на максимальный размер пакета и операций записи и чтения. В sftp новое расширение задействовано для выбора оптимального размера блоков при передаче данных.
- В sshd_config для sshd добавлена настройка ModuliFile, позволяющая указать путь к файлу “moduli”, содержащему группы для DH-GEX.
- В unit-тесты добавлена переменная окружения TEST_SSH_ELAPSED_TIMES для включения вывода времени, прошедшего с момента запуска каждого теста.
- Интерфейс для запроса пароля для GNOME разделён на два варианта, один для GNOME2, а второй для GNOME3 (contrib/gnome-ssk-askpass3.c). Вариант для GNOME3 для улучшения совместимости с Wayland использует вызов gdk_seat_grab() при управлении захватом клавиатуры и мыши.
- В применяемый в Linux sandbox на базе seccomp-bpf добавлен мягкий запрет (soft-disallow) системного вызова fstatat64.