OpenSSH 10.4 исправляет уязвимости, позволявшие обходить политики безопасности и вызывать отказ в обслуживании

OpenSSH

Вышла новая стабильная версия OpenSSH 10.4 (и 10.4p1), закрывающая несколько уязвимостей, о которых 6 июля 2026 года сообщил CERT-FR со ссылкой на официальный бюллетень проекта. Среди рисков, по оценке французского центра реагирования, - обход политики безопасности, отказ в обслуживании (DoS) и неспецифицированные проблемы безопасности.

Детали уязвимостей

Некоторые из исправленных уязвимостей затрагивают клиентские утилиты. В sftp при загрузке файлов через команду "sftp host:/path ." злоумышленник, контролирующий сервер, мог заставить клиента сохранить скачиваемый файл в непредусмотренное место. Аналогичная проблема затронула scp при копировании между двумя удалёнными хостами: атакующий сервер мог записать файл в родительский каталог целевой директории. Обе уязвимости были выявлены сканером безопасности Swival Security Scanner.

В серверной части несколько проблем связаны с некорректной обработкой конфигурации и аутентификации. В реализации встроенного SFTP-сервера "internal-sftp" (не является настройкой по умолчанию) слишком длинные командные строки усекались после девятого аргумента - если опция безопасности оказывалась на десятой или более поздней позиции, она просто игнорировалась. На это указал Стив Каффри.

Был устранён обход минимальной задержки аутентификации, на который обратила внимание команда Orange Cyberdefense Vulnerability Team. Кроме того, при включённом GSSAPIAuthentication (выключен по умолчанию) существовала возможность вызвать отказ в обслуживании до аутентификации - эта атака не ограничивалась параметром MaxAuthTries, хотя предусмотренный механизм PerSourcePenalties всё же срабатывал. Проблему обнаружил Манфред Кайзер из milCERT AT (Министерство обороны Австрии).

Ещё одна уязвимость касалась логики директив: параметр DisableForwarding=yes не переопределял PermitTunnel=yes вопреки документации. На это независимо указали Хузайфа Сидхпурвала из Red Hat и Марко Евтич.

В клиенте ssh(1) исправлен опасный use-after-free: при смене хост-ключа сервером во время повторного обмена ключами могло произойти обращение к уже освобождённой памяти, что чревато выполнением произвольного кода на стороне клиента. Исследователь Чжэньпэн (Лео) Линь из Depthfirst сообщил о данной проблеме.

В OpenSSH 10.4 также ужесточена транспортная логика: теперь соединение разрывается, если пир отправляет сообщения, не относящиеся к обмену ключами, во время повторного установления ключей после аутентификации. Ранее злоумышленник мог безнаказанно отправлять такие данные, которые буферизировались и приводили к расходу памяти до завершения сессии или достижения лимита.

В число прочих исправлений вошли: устранение несоответствия в ответе ssh-agent на запросы расширений, исправление некорректной классификации большого трафика как интерактивного (bz3972, bz3958), предотвращение утечки DNS0x20-имён при канонизации через CanonicalizePermittedCNAMEs, а также исправление ошибок в чтении данных при обработке SSH_FXP_REALPATH в sftp-сервере на системах, где PATH_MAX не совпадает с фактическим максимальным путём.

Добавлена экспериментальная поддержка гибридной постквантовой схемы подписи, комбинирующей ML-DSA 44 и Ed25519 (draft-miller-sshm-mldsa44-ed25519-composite-sigs). По умолчанию она не активна - требуется вручную добавить её в списки HostKeyAlgorithms и PubkeyAcceptedAlgorithms.

Ключевые изменения совместимости: в режиме дампа конфигурации ("sshd -G") директивы теперь выводятся в смешанном регистре, а не только строчными. На системах Linux с включённым sandbox seccomp ошибки при включении SECCOMP или NO_NEW_PRIVS теперь считаются фатальными. Ранее sshd продолжал работу, только логируя ошибку, - теперь для систем, не поддерживающих эти механизмы, необходимо отключать sandbox на этапе конфигурации.

Администраторам рекомендуется как можно скорее обновить OpenSSH до версии 10.4 или 10.4p1, загрузив исходный код с зеркал проекта. Подробный список патчей и все CVE-идентификаторы приведены в бюллетене на сайте OpenSSH.

Ссылки

Комментарии: 0