The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз OpenSSH 6.0

22.04.2012 11:42

Представлен релиз OpenSSH 6.0, открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP. Несмотря на значительный номер версии, изменений представлено относительно немного, по сравнению с прошлыми выпусками. Релиз позиционируется как корректирующий, а номер версии стоит рассматривать как плавное продолжение нумерации в десятичном исчислении, при которой после 5.9 выпускается не версия 5.10, а 6.0. Заметное улучшение внесено только в Portable-версию, в которой добавлена поддержка специфичного для Linux нового режима изоляции "seccomp sandbox".

Основные изменения:

  • Новый режим изоляции привилегий для Linux - "seccomp sandbox", автоматически включаемый при сборке на системах, поддерживающих технологию seccomp filter. Так как подсистема seccomp filter пока не включена в состав основного ядра, её поддержка в дистрибутивах сильно ограничена. Тем не менее, дело скоро должно сдвинуться с мёртвой точки, так как поддержка seccomp filter будет обеспечена по умолчанию в 64-разрядной сборке Ubuntu 12.04. Стимулировать интеграцию seccomp filter также должен факт обеспечения поддержки данной технологии в важнейших сетевых приложениях, таких как vsftpd и OpenSSH. Кроме того, компания Google намерена активировать seccomp filter для усиления защиты в проекте Chromium.

    Принцип работы seccomp filter сводится к ограничению доступа к системным вызовам. При этом, важной особенностью является то, что логика выставляемых ограничений задаётся на уровне защищаемого приложения, а не через задание внешних ограничений, как в случае AppArmor или SELinux. В код программы добавляется структура с перечнем допустимых системных вызовов (например, ALLOW_SYSCALL) и реакции в случае несовпадения (например, KILL_PROCESS). Доступ к системным вызовам определяется в виде правил, оформленных в BPF-представлении (Berkeley Packet Filter), которое получило распространение в системах фильтрации сетевых пакетов.

    Система seccomp позволяет реализовывать достаточно сложные правила доступа, учитывающие передаваемые и возвращаемые аргументы. Программа сама определяет какие системные вызовы ей необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, что позволяет ограничить возможности атакующего в случае эксплуатации уязвимости в защищённом при помощи seccomp приложении. Возможность задания фильтров аргументов позволяет также защититься от большинства атак, эксплуатирующих уязвимости в системных вызовах. Например, выявленные за последние годы критические уязвимости в glibc и ядре Linux, такие как AF_CAN, sock_sendpage и sys_tee, успешно блокируются при надлежащем использовании seccomp.

  • В ssh-keygen добавлены дополнительные точки контроля для экранирования модулей;
  • В ssh-add добавлена опция "-k" для загрузки только ключей, пропуская загрузку сертификатов;
  • В sshd добавлена поддержка указания масок в опции PermitOpen. Например, теперь можно указывать такие правила, как "PermitOpen localhost:*";
  • В ssh реализована возможность отмены локального или удалённого переброса портов, осуществлённого через мультиплексированный сокет, обслуживающих также другие соединения. Для отмены проброса следует использовать "ssh -O cancel -L xx:xx:xx -R yy:yy:yy user_at_host";
  • Поддержка отмены локального/динамического проброса из командной строки, активируемой через "~C";
  • Добавлена опциональная поддержка LDNS, библиотеки для выполнения DNS-запросов (resolver), поддерживающей DNSSEC и распространяемой под лицензией BSD;
  • Устранены проблемы со сборкой во FreeBSD, при использовании варианта libutil с функцией openpty(), но без login();
  • Налажена сборка на основании включённого в состав spec-файла для создания RPM-пакетов;
  • Переработана проверка версии OpenSSL, что позволяет запускать исполняемые файлы OpenSSH с более новыми ветками OpenSSL, чем использовались для сборки (ранее проверялась только версия патча, т.е. если OpenSSH собран с 1.0.0h, то он работал с 1.0.0i, а теперь ещё будет работать и с 1.0.1a);
  • Устранено несколько утечек памяти и файловых дескрипторов.


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Релиз OpenSSH 5.9
  3. OpenNews: Пример анализа потенциально серьезной уязвимости в OpenSSH
  4. OpenNews: Для OpenSSH реализована поддержка дополнительной изоляции
  5. OpenNews: Вышло обновление OpenSSH 5.8 с исправлением недоработки, связанной с безопасностью
  6. OpenNews: Релиз OpenSSH 5.7
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/33654-openssh
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, bircoph (ok), 14:34, 22/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    С чего это seccomp нет в ванильном ядре?
    CONFIG_SECCOMP=y
    даже в 2.6.38 (ванилька)
     
     
  • 2.5, Аноним (-), 15:28, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Автор новости путает seccomp и seccomp filter.
     
     
  • 3.7, Xasd (ok), 16:27, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Автор новости путает seccomp и seccomp filter.

    или просто сократил, так как очевидно: "Мы говорим ленин, подразумеваем -- Партия. ..."

     
     
  • 4.8, Аноним (-), 16:49, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты ещё предложи GNU/Linux до Linux сократить.
     
     
  • 5.9, Аноним (-), 18:18, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ты ещё предложи GNU/Linux до Linux сократить.

    Это уже слишком сложно.
    Сначала надо разобраться: Linux и Linus - это муж и жена или два совершенно разных человека?

     
     
  • 6.10, Аноним (-), 18:49, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > два совершенно разных человека?

    А Слава КПСС - вообще не человек!

     
     
  • 7.11, Анон (?), 21:16, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Человек. Зовут Слава, фамилия КПСС. Коренной москвич.
     
  • 2.12, Аноним (-), 21:17, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В OpenSSH seccomp filter, а не просто seccomp.
     

  • 1.13, pavlinux (ok), 23:04, 22/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > добавлена поддержка специфичного

    Правильно, защищенные соединения тоже надо защищать.

     
     
  • 2.17, XoRe (ok), 01:27, 24/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> добавлена поддержка специфичного
    > Правильно, защищенные соединения тоже надо защищать.

    Защищающий защищатор для защищения)

     

  • 1.14, Аноним (-), 11:23, 23/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    For Slackware 13.37 - ftp://ifconfig.com.ua/pub/Software/Linux/Slackware/Network/RemoteControl/Ope
     
  • 1.15, Kibab (ok), 12:47, 23/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отличная новость про seccomp sandboxing. Значит, на FreeBSD будет легче запилить Capsicum на то же место.
     
  • 1.16, x0r (??), 13:16, 23/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    новый способ убить удаленный процесс)) а так да - полезная штука
     
  • 1.18, Kibab (ok), 01:55, 24/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Аккурат к 142-й годовщине рождения Вождя Мирового Пролетариата. Ура, товарищи!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру