Před pár dny, Damian Miller (jeden z vývojářů OpenSSH), oznámil toprostřednictvím e-mailových konferencí, Vydání údržby OpenSSH 9.9p2 že opravuje dvě kritické zranitelnosti objevil Qualys, který by mohl být zneužit k provádění útoků typu Man-in-the-Middle (MITM).
Je zmíněno, že tyto závady umožnil útočníkovi zachytit SSH připojení a přimět klienta, aby přijal klíč škodlivého serveru místo legitimního klíče cílového serveru.
CVE-2025-26465: Obejití ověření klíče SSH
První z chyb zabezpečení, která byla opravena ve vydání této opravné verze, je CVE-2025-26465. Tato chyba zabezpečení je způsobena logickou chybou v obslužném programu ssh, což umožňuje útočníkovi obejít ověření klíče serveru a úspěšně provést útok MITM.
Když se klient pokusí připojit na SSH server, Útočník může přesměrovat provoz na falešný server a způsobit, že klient bez varování přijme nesprávný klíč v domnění, že je připojen k legitimnímu serveru.
Kromě toho tato chyba zabezpečení:
- V OpenSSH je přítomen od verze 6.8p1 (prosinec 2014).
- Spustí se, když je povolena možnost VerifyHostKeyDNS.
- V základní konfiguraci OpenSSH je tato možnost ve výchozím nastavení zakázána, ale ve FreeBSD byla povolena až do března 2023.
Pokud jde o příčiny které způsobují toto selhání, je uvedeno, že Je to proto, že funkce ověření_hostitel_key_callback() volá funkci authentic_host_key(), ale pouze zkontroluje, zda je vrácený chybový kód -1, přičemž ostatní chybové kódy jako -2 ignoruje. Když Ověření_hostitelského_klíče() vrátí -2, když není dostatek paměti, ale kvůli vynechání chybového kódu, Systém mylně předpokládá, že hostitelský klíč byl ověřen správně
Útočník tak může tuto chybu zneužít vytvořením falešného serveru SSH, který odešle velký klíč hostitele (256 kB), což způsobí nadměrnou spotřebu paměti na klientovi a vyvolá neošetřený chybový stav.
CVE-2025-26466: Únik paměti a nadměrná spotřeba CPU v SSH
Druhá chyba zabezpečení, která byla opravena, je CVE-2025-26466 a tato chyba zabezpečení ovlivňuje jak ssh klienta, tak sshd server, od té doby umožňuje vyčerpat paměť procesu a generovat vysoké zatížení CPU opakovaným odesíláním paketů SSH2_MSG_PING.
Velký dopad této zranitelnosti spočívá v tom, že Lze jej zneužít bez ověření a ovlivňuje OpenSSH od verze 9.5p1 (srpen 2023). Kromě toho umožňuje útočníkovi spotřebovávat systémové prostředky, což snižuje výkon a dokonce způsobuje odmítnutí služby (DoS).
Ohledně příčin, které toto selhání způsobují, je zmíněno, že je to způsobeno tím, že Každý příchozí 2bajtový paket SSH16_MSG_PING způsobí přidělení 256bajtové vyrovnávací paměti v paměti. Tato vyrovnávací paměť není uvolněna, dokud není dokončena dohoda o klíči, což má za následek nevracení paměti při odeslání více paketů PING.
Zmírnění a řešení
Jako řešení, Doporučuje se nastavit omezení v sshd_config pomocí následujících direktiv:
- LoginGraceTime: To omezuje časový limit pro ověření.
- MaxStartups: omezuje počet neověřených připojení.
- PerSourcePenalties: aplikuje sankce na klienty, kteří generují více pokusů o připojení.
A pokud jde o řešení, První a nejvíce doporučená je upgradujte OpenSSH na vydanou verzi „9.9p2“ co nejdříve opravit tato zranitelná místa. Pokud však není okamžitá aktualizace proveditelná, měla by být použita výše uvedená zmírňující opatření. Kromě toho se doporučuje zakázat VerifyHostKeyDNS, pokud nejsou použity spolehlivé ověřovací mechanismy DNSSEC.
Pokud zájem se o tom dozvědět více, můžete zkontrolovat podrobnosti v následující odkaz.
Jak nainstalovat OpenSSH na Linux?
Pro ty, kteří mají zájem o instalaci této nové verze OpenSSH do svých systémů, teď to mohou udělat stažení zdrojového kódu tohoto a provedení kompilace na svých počítačích.
Je to proto, že nová verze ještě nebyla zahrnuta do úložišť hlavních distribucí Linuxu. Chcete-li získat zdrojový kód, můžete to udělat z následující odkaz.
Dokončete stahování, nyní rozbalíme balíček pomocí následujícího příkazu:
tar -xvf openssh-9.9p2.tar.gz
Vstupujeme do vytvořeného adresáře:
cd openssh-9.9p2
Y můžeme sestavit s následující příkazy:
./configure --prefix = / opt --sysconfdir = / etc / ssh provést make install