LINUX.ORG.RU

Openssh


11

0

Всего сообщений: 34

Состоялся релиз OpenBSD 5.1

Группа BSD

1 мая точно по графику, состоялся официальный релиз 5.1 операционной системы OpenBSD.

Как и в предыдущих релизах, 5.1 предлагает как новые функции, так и значительные доработки практически во всех подсистемах, среди них:

  • новые драйвера, включая поддержку тачпадов Synaptics по умолчанию, интегрированной графики Intel Sandy Bridge, поддержку режима AES-GCM для новых процессоров Intel и будущих AMD;
  • доработки сетевого стека, в том числе улучшение работы PPTP, PPP и L2TP на нестабильных соединениях с задержками (например, в мобильных сетях), повышение надежности подсистемы 802.11 (в частности, работы в режиме точки доступа), улучшение поддержки IPv6;
  • доработки пользовательских приложений, в том числе демонов маршрутизации, так, traceroute и traceroute6 для каждого хопа могут подсмотреть номер AS;
  • доработки пакетного фильтра PF, включая поддержку NAT64, а также Netflow v9 and ipfix для pflow;
  • множественные улучшения и исправления базовой системы: поддержки локалей, соответствия заголовочных файлов стандартам, поддержки подсистемой softraid корневой файловой системы, а также возможности загрузки из неё ядра на архитектуре amd64;
  • OpenSSH 6.0.

К услугам пользователей более 7000 портов, из которых на архитектуре i386 откомпилировано 7229, а на amd64 — 7181 пакет, включая GNOME 3.2.1 (fallback mode), KDE 3.5.10, Xfce 4.8.3, LibreOffice 3.4.5.2, Chromium 16.0.912.77.

Система уже появилась на русском зеркале.

>>> Текст анонса

 ,

Lothlorien
()

Релиз OpenSSH 6.0

Группа BSD

Как всегда по графику вышел очередной релиз популярнейшего набора утилит для безопасной связи между компьютерами OpenSSH. Это в основном багфикс-релиз (схема назначения версий такая же, как в основном проекте OpenBSD и не зависит от кардинальности изменений).

Следует отметить, что в этой версии появилась поддержка разделения привилегий с использованием seccomp sandbox в Линуксе (пока объявлена экспериментальной), а также реализована возможность отмены перенаправления портов при использовании мультиплексирования сессии.

>>> Сообщение в списке рассылки

 , , ,

val-amart
()

OpenBSD 5.0

Группа BSD

Точно по расписанию, 1 ноября 2011 года, вышла версия 5.0 операционной системы OpenBSD, позиционирующейся как наиболее безопасная среди существующих свободных и лицензионно чистых операционных систем. Согласно схеме нумерации версий, принятой в OpenBSD ещё с версии 2.0 (принцип десятых долей — новая версия отличается на 0.1 от предыдущей), OpenBSD 5.0 не является мажорным релизом, продолжая традиции, заложенные в более ранних версиях системы.

Основные изменения в системе:

  • поддержка >4GB оперативной памяти во всех возможных архитектурах (наконец-то amd64 будет поддерживать большое количество памяти);
  • ACPI драйвер для ноутбуков Toshiba acpitoshiba(4);
  • утилита fw_update(1) для установки и обновления закрытых прошивок, исполняющаяся, в том числе, при первом запуске установленной системы;
  • поддержка Wake on LAN сетевой инфраструктурой системы и драйверами xl(4), re(4) и vr(4);
  • ICMP-редиректы больше не поддерживаются стеком IPv4 при работе в режиме роутера, стек IPv6 не поддерживает их по умолчанию;
  • устранены ошибки в carp(4) для возможности работы в IPv6-only режиме;
  • устранены ошибки и добавлены возможности в демоны маршрутизации bgpd(8), ospfd(8), ospf6d(8);
  • очередные изменения в работе pf(4): реассемблирование пакетов IPv6, перевод ftp-proxy(8) и tftp-proxy(8) на работу с divert-to вместо rdr-to и ряд других;
  • множество улучшений в подсистеме SCSI;
  • удалена поддержка совместимости запуска бинарников других систем, за исключением Linux, поддержка совместимости с Linux на i386 незначительно улучшена;
  • масса изменений в ядре и пользовательской среде, направленных на обеспечение совместимости с POSIX 2008 и поддержку UTF-8;
  • полная поддержка так называемых Disklabel Unique Identifiers (DUID), позволяющая обращаться к разделам без указания имён устройств;
  • фреймворк rc.d(8), представленный в 4.9, используется также для запуска системных демонов.

В базовую систему включён ранее вышедший OpenSSH 5.9.

Как и ранее, загрузка и установка с CD поддерживается для архитектур amd64, i386, macppc и sparc64.

Для системы подготовлено более 7200 портов, среди которых KDE 3.5.10, Gnome 2.32.2, Xfce 4.8.0, LibreOffice 3.4.1.3, Chromium 12.0.742.122 и многие другие.

Поставляемая сборка Xorg под названием Xenocara базируется на X.Org 7.6 (xserver 1.9 + патчи, freetype 2.4.5, fontconfig 2.8.0, Mesa 7.8.2, xterm 270, xkeyboard-config 2.3 и др.).

Система доступна для загрузки на официальных зеркалах, в том числе на российском.

>>> Анонс выпуска

 ,

Lothlorien
()

OpenSSH 5.9 с экспериментальным режимом «песочницы»

Группа Open Source

Появилась версия 5.9 открытой реализации клиента и сервера с поддержкой SSH-протокола — OpenSSH. Данный релиз впервые представляет экспериментальную функцию «песочницы», налагающей ограничения на осуществление определённых системных вызовов.

Цель создания «песочницы» заключается в установке барьера на пути атаки на другие узлы сети, например, посредством создания прокси или открытия сокетов, а также локальных атак на систему.

Предоставляется три реализации «песочницы»:

  • systrace использует systrace(4) со списком разрешённых системных вызовов, остальным посылается сигнал SIGKILL; данный режим осуществим только при активации новой опции ядра SYSTR_POLICY_KILL, существующей на данный момент только в OpenBSD;
  • seatbelt использует возможности OS X/Darwin sandbox(7) с политиками, запрещающими доступ к файловой системе и сети;
  • rlimit выбирается в случае, если предыдущие два режима не могут быть реализованы, и использует setrlimit() для запрета порождения новых процессов и файловых дескрипторов.

В «песочнице» запускается дочерний процесс для обработки SSH-протокола, сжатия и выполнения части криптографических операций, не относящихся к аутентификации.

>>> Полный список изменений

 

ins3y3d
()

PuTTY 0.61

Группа Open Source

После четырёх лет разработки 12 июля вышла новая версия PuTTY.

В этой версии:

  • Kerberos/GSSAPI аутентификация в SSH-2.
  • Поддержка локальной авторизации X11 в Windows.
  • Поддержка немоноширинных шрифтов в Windows.
  • Поддержка GTK2 в Unix.
  • Поддержка логических имён машин независимо от их физических адресов.
  • Оптимизации управления потоками и криптографии.
  • Поддержка метода сжатия zlib@openssh.com SSH-2.
  • Поддержка новых свойств интерфейса Windows 7.
  • Поддержка шифрованных личных ключей OpenSSH AES в PuTTYgen.
  • Личные ключи OpenSSH с простыми числами теперь поддерживаются в любом порядке.
  • Исправлены сбои проброски портов.
  • Исправлены различные сбои и зависания при ошибках.
  • Исправлено подвисание последовательного порта в Windows.
  • Асинхронный буфер обмена в случае, если владелец буфера обмена находится на удалённой машине (через проброску портов или туннель rdesktop), что избавляет от тупиковых блокировок.

>>> Подробности

 , , ,

beastie
()

В OpenSSH 3.5p1 из состава FreeBSD 4.x найдена удаленная root-уязвимость

Группа Безопасность

В списке рассылки full-disclosure представлена критическая уязвимость в используемой во FreeBSD 4.x версии OpenSSH, позволяющая удаленному злоумышленнику без аутентификации получить root-доступ к системе. Уже создан и публично опубликован эксплоит, позволяющий получить привилегированный shell на подверженных уязвимости серверах.

Уязвимость проявляется для протоколов SSH1 и SSH2. Проблема вызвана ошибкой в реализации аутентификации с использованием PAM на платформе FreeBSD. Проблема присутствует в функции «pam_thread()» из файла auth2-pam-freebsd.c. Начиная с версии FreeBSD 5.2 содержащий уязвимость файл auth2-pam-freebsd.c был заменен новой реализацией, т.е. с большой долей вероятности можно утверждать, что новые версии FreeBSD проблеме не подвержены. 100% уверенности пока нет, так как точно не ясно, не перекочевал ли проблемный код в какие-либо библиотеки PAM или сторонние реализации OpenSSH, используемые и поныне. Детальный аудит ещё предстоит провести.

Ошибка проявляется при передаче слишком длинного имени пользователя. Простой способ проверить наличие уязвимости - попытаться обратиться к своему серверу, указав логин порядка 100 символов. Например:

 #ssh -l`perl -e 'print "A" x 100'` хост 
, в случае проблемы, можно наблюдать крах рабочего процесса sshd и вывод в лог /var/log/messages сообщения «/kernel: pid N (sshd), uid 0: exited on signal 11 (core dumped)». Изучение core-дампа показало, что проблема подвержена эксплуатации, так как атакующий может контролировать указатель перехода и позиционировать его на shellcode. Прототип рабочего эксплоита был успешно создан путем небольшой модификации кода ssh-клиента из пакета OpenSSH 5.8p2.

   $ ./ssh -1 192.168.1.1
   $ nc -v -l -p 10000
   listening on [any] 10000 ...
   192.168.1.1: inverse host lookup failed: Unknown host
   connect to [192.168.1.1] from (UNKNOWN) [192.168.1.2] 1038
   
   uname -a
   
   FreeBSD h4x.localdomain 4.11-RELEASE FreeBSD 4.11-RELEASE #0: Fri Jan 21 17:21:22 GMT 2005  /GENERIC  i386

   id

   uid=0(root) gid=0(wheel) groups=0(wheel)

Поддержка ветки FreeBSD 4.x прекращена ещё в 2007 году, но данная версия все еще используется на некоторых серверах в сети. Пользователям версии FreeBSD 4.x рекомендуется срочно обновить OpenSSH до более новой версии. В качестве обходного пути решения проблемы следует разрешить через пакетный фильтр доступ по SSH только для доверительных хостов и отключить поддержку PAM, указав в настройках «ChallengeResponseAuthentication no». Информации о возможности поражения других операционных систем, использующих устаревшие версии OpenSSH с реализацией поддержки PAM от проекта FreeBSD, пока нет.

>>> Opennet.ru

 , ,

papochka
()

OpenBSD 4.9

Группа BSD

Сегодня, 1 мая 2011 года, вышла новая версия популярной операционной системы OpenBSD, на этот раз за номером 4.9.
OpenBSD — свободная многоплатформенная операционная система, основанная на 4.4BSD. Основным отличием OpenBSD от других свободных BSD-систем (NetBSD, FreeBSD), является изначальная ориентированность проекта на создание наиболее безопасной, свободной и лицензионно чистой из существующих операционных систем.

Изменения, специфические для платформ:

  • Поддержка NTFS (только чтение) включена по умолчанию (i386/amd64).
  • Включен драйвер vmt для VMWare tools в режиме гостя (i386/amd64).
  • Ядра с поддержкой SMP теперь можно загружать на машинах с количеством ядер до 64 (i386/amd64).
  • Поддержка >16 дисков при поиске ядра для загрузки (i386/amd64)
  • Поддержка набора инструкций AES-NI, доступного на современных процессорах Intel (i386/amd64)
  • Улучшенная поддержка ждущего режима (i386/amd64)
  • Переключение процессов на TSS per cpu на amd64, таким образом, убрано ограничение в ~4000 процессов.
  • Поддержка многопроцессорных машин архитектуры HPPA:
  • На всех MIPS64-платформах (в том числе Loongson) включена поддержка набора операций с плавающей запятой MIPS IV с помощью кода MI softfloat.
  • Поддержка протокола vDisk 1.1 драйвером vdsp на SPARC64, теперь позволяет запускать Solaris поверх домена контроля OpenBSD

Как всегда, улучшена поддержка оборудования. Теперь OpenBSD поддерживает многие 3G-модемы с помощью драйвера umsm, больше сетевых в том числе беспроводных карт и даже сенсор, отслеживающий дрожание и подергивание коленок пользователя (YUREX USB)

Улучшения в сетевом стеке: новая опция ifconfig — wpakey вместо старой wpa-psk, так что можно задавать пароль для доступа к сети напрямую в команде, поддержка декодирования mDSN-трафика в tcpdump, поддержка AES-GCM в IPsec и многое другое

Проведенный аудит стека IPsec позволил выявить и исправить несколько потенциальных проблем безопасности, код PRNG, базирующийся на ARC4 был проверен и переделан, введена новая функция ядра explicit_bzero, предотвращающая «оптимизацию» вызова функции bzero калькулятором.

Включена поддержка «широких» символов в ncurses
Новая утилита video, позволяющая записывать видео с устройств, поддерживаемых одноименным драйвером (с использованием API Video for Linux 2)
Улучшения в tmux
Специфическая для OpenBSD документация по пакетам централизована в /usr/local/share/doc/pkg-readmes.
Убраны некоторые «гонки» в подсистеме USB, чем существенно увеличена её надёжность

Изменения в процессе установки/обновления системы:

  • Теперь можно посмотреть список видимых сетей и даже настроить WPA для них (прямо в самом установщике)
  • При обновлении теперь задаётся вопрос, должно ли оно продолжаться при невозможности монтирования нескольких файловых систем

Улучшения в OpenBGPD, OpenOSPFD и других демонах роутинга
Переписана подсистема ведения логов pf (packet filter)
Новый rc.d для запуска, остановки и перенастройки демонов.
Новый фреймворк rc.subr для лёгкого создания rc-скриптов
rc.local всё ещё можно использовать вместо или в дополнение к rc.d

OpenSSH 5.8 с многочисленными улучшениями

Множество собранных пакетов, в том числе:
Gnome 2.32.1, KDE 3.5.10, Xfce 4.8.0
MySQL 5.1.54, PostgreSQL 9.0.3.
Mozilla Firefox 3.5.16 и 3.6.13 и Mozilla Thunderbird 3.1.7.
Chromium 9.0.597.94.
OpenOffice.org 3.3.0rc9 и LibreOffice 3.3.0.4.
Emacs 21.4 и 22.3, Vim 7.3.3

В саму систему включены приложения сторонних разработчиков:

  • Xenocara на базе X.Org 7.6 с патченным xserver 1.9, freetype 2.4.4, fontconfig 2.8.0, Mesa 7.8.2, xterm 267
  • Gcc 2.95.3 (+ patches), 3.3.5 (+ patches) and 4.2.1 (+ patches)
  • Perl 5.12.2 (+ patches)
  • Улучшенная и сделанная более безопасной разработчиками OpenBSD версия Apache 1.3, с поддержкой SSL/TLS и DSO
  • OpenSSL 1.0.0a (+ patches)
  • Sendmail 8.14.3, with libmilter
  • Bind 9.4.2-P2 (+ patches)
  • Lynx 2.8.6rel.5 with HTTPS and IPv6 support (+ patches)
  • Sudo 1.7.2p8
  • Ncurses 5.7
  • Heimdal 0.7.2 (+ patches)
  • Arla 0.35.7
  • Binutils 2.15 (+ patches)
  • Gdb 6.3 (+ patches)

>>> Подробности

 openbgpd, , openospfd,

Xenius
()

OpenSSH 5.5

Группа BSD

Только что состоялся релиз OpenSSH 5.5

Этот выпуск является корректирующим и не вносит новой функциональности.

Список изменений по сравнению с версией 5.4:

  • Опция AuthorizedKeysFile снова работает с путями относительно $HOME
  • Исправлены проблемы компиляции на платформах с отсутствующим dlopen()
  • Протоколирование аутентификации пользовательских сертификатов происходит теперь более согласовано между методами TrustedUserCAKeys и authorized_keys
  • Исправлено шесть ошибок в переносимой версии OpenSSH, в частности теперь ChrootDirectory работает при включенном SELinux, добавлена поддержка HaikuOS в configure.ac, а на FreeBSD включено использование utmpx

Контрольные суммы:

  • SHA1 (openssh-5.5.tar.gz) = 59864a048b09ad1b6e65a74d5d385d8189ab8c74
  • SHA1 (openssh-5.5p1.tar.gz) = 361c6335e74809b26ea096b34062ba8ff6c97cd6

Скачать

>>> Подробности

 , ,

val-amart
()

Вышел OpenSSH 5.4

Группа Open Source

OpenSSH - открытая реализация протокола SSH. Полность совместим с версиями 1.3, 1.5 и 2.0. Также включает поддержку протокола SFTP.

Особенности релиза:

  • по умолчанию отключена поддержка протокола SSH версии 1. При необходимости ее нужно включить в ssh_config/sshd_config;
  • удален код libsectok/OpenSC для работы со смарт картами и добавлена поддержка стандарта PKCS#11;
  • добавлена поддержка минималистичного формата сертификатов OpenSSH для проверки подлинности пользователей и хостов (не X.509);
  • добавлена возможность аннулировать ключи в sshd и ssh. Отозванные ключи не могут быть использованы для аутентификации;
  • в sftp-сервер добавлен режим «read-only»; добавлена возможность задания umask для пользователя;
  • в sftp-клиенте включена поддержка автодополнения команд по клавише 'Tab';
  • добавлена поддержка рекурсивной передачи данных через PUT/GET или при использовании ключа "-r" в командной строке;
  • пароли для закрытых ключей SSH v2 теперь шифруются при помощи AES-128 вместо 3DES.

>>> Подробности

 ,

kernelpanic
()

20 советов по безопасному использованию сервера OpenSSH

Группа Безопасность

SSH идеально подходит для сохранения конфиденциальности и обеспечения целостности данных при обмене данными между двумя сетями или системами. Основным его преимуществом является аутентификация на сервере с использованием криптографии с открытым ключом. Однако эту службу необходимо грамотно настроить.

>>> Статья

 , ,

vikos
()

Опасная уязвимость OpenSSH в RHEL и Fedora

Группа Безопасность

В пакете openssh-server, входящем в состав Red Hat Enteprise Linux 5.4 и Fedora 11, обнаружена опасная уязвимость, потенциально позволяющая удаленному пользователю выполнить произвольный код с правами root.

Уязвимость вызвана некорректным бэкпортированием поддержки ChrootDirectory в используемую в RHEL версию openssh 4.3. В бэкпорте, сделанном Red Hat, допускается, что ChrootDirectory может быть доступен для записи обычным пользователям системы. В результате, злоумышленник может поместить в chroot жесткие ссылки на setuid-программы из основной системы. При запуске эти программы будут использовать библиотеки и файлы конфигурации, размещенные в ChrootDirectory, что позволяет злоумышленнику выполнить произвольный код с привилегиями root, но без возможности выйти за пределы chroot-окружения.

Для успешной эксплуатации этой уязвимости необходимо:

  • Наличие доступа к консоли без chroot, для того, чтобы сделать hardlink на suid-файл внутри chroot-окружения.
  • Нахождение требуемой setuid-программы в одной файловой системе с chroot-окружением (иначе не удастся сделать жесткую ссылку).

Обновления доступны уже две недели. Не забываем обновляться каждое утро!

>>> Описание проблемы на багзилле RH

 , , , ,

nnz
()

OpenSSH 5.3

Группа BSD

Состоялся релиз OpenSSH 5.3, полностью открытой реализации протокола SSH версий 1.3, 1.5 и 2.0
Это релиз призван отметить десятилетний юбилей проекта OpenSSH. Релиз носит характер исправлений и не добавляет новой функциональности. Исправлено 2 незначительные ошибки в основной версии и 13 в версии, предназначенной для портирования.
Исходные тексты будут в скорости доступны на основном сайте проекта OpenSSH.org
Участники хотели бы поблагодарить своих верных пользователей, которые поддерживали проект все эти годы, в особенности тех, кто писал багрепорты и присылал патчи.
А мы в свою очередь поблагодарим разработчиков и поздравим их: с юбилеем, OpenSSH!

>>> Подробности

 ,

val-amart
()

Обнаружена уязвимость в OpenSSH

Группа Безопасность

Исследователи из Royal Holloway, University of London обнаружили уязвимость в OpenSSH, позволяющую злоумышленнику с вероятностью 2^{-18} (один случай из 262,144) расшифровать кусок передаваемых данных длиной в 32 бита.

Злоумышленник перехватывает зашифрованные блоки, посылаемые клиентом, и пересылает их на сервер. Подсчитывая количество байт, переданных до разрыва соединения сервером, он может определить содержимое первых четырех байт незашифрованного блока.

Такая атака основывается на дырах в дизайне OpenSSH, в то время как предыдущие уязвимости в основном относились к ошибкам в коде.

>>> Подробности

 ,

mipt_student
()

OpenSSH: Privilege escalation

Группа Безопасность

Gentoo Linux Security Advisory GLSA 200804-03
Date: April 05, 2008

Локальный атакующий может перехватить forwarded X11-сессии других пользователей и, возможно, исполнить произвольный код с их привилегиями, перехватить важные данные и устроить атаку типа "отказ в обслуживании".

>>> Подробности

 ,

Sun-ch
()