Paar päeva tagasi, Damian Miller (üks OpenSSH arendajatest), tegi sellest teada, meililistide kaudu, OpenSSH 9.9p2 hooldusväljalase et parandab kaks kriitilist turvaauku avastas Qualys, mida saaks ära kasutada Man-in-the-Middle (MITM) rünnakute läbiviimiseks.
Mainitakse, et need vead võimaldas ründajal SSH-ühendusi pealt kuulata ja meelitab klienti vastu võtma pahatahtliku serveri võtme, mitte sihtserveri seadusliku võtme.
CVE-2025-26465: SSH-võtme kinnitamise möödaviimine
Esimene haavatavus, mis selle parandava versiooni väljalaskes parandati, on CVE-2025-26465. See haavatavus on tingitud loogilisest veast ssh-utiliidis, mis võimaldab ründajal serveri võtme kontrollimisest mööda minna ja MITM-i rünnakut edukalt läbi viia.
Kui klient proovib ühendust luua SSH-serverisse, Ründaja võib liikluse ümber suunata võltsserverisse ja panna klient ilma hoiatuseta vale võtme vastu võtma, uskudes, et see on ühendatud seadusliku serveriga.
Lisaks sellele on see haavatavus:
- See on OpenSSH-s olemas olnud alates versioonist 6.8p1 (detsember 2014).
- Käivitatakse, kui suvand VerifyHostKeyDNS on lubatud.
- OpenSSH põhikonfiguratsioonis on see valik vaikimisi keelatud, kuid FreeBSD-s oli see lubatud kuni 2023. aasta märtsini.
Mis puutub põhjustesse mis selle ebaõnnestumise põhjustavad, mainitakse seda Seda seetõttu, et funktsioon verify_host_key_callback() kutsub välja verify_host_key(), kuid see kontrollib ainult seda, kas tagastatud veakood on -1, ignoreerides muid veakoode, nagu -2. Millal verify_host_key() tagastab -2, kui mälu pole piisavalt, kuid veakoodi väljajätmise tõttu Süsteem eeldab ekslikult, et hosti võti on kontrollitud õigesti.
Ründaja saab seega seda viga ära kasutada, luues võlts-SSH-serveri, mis saadab suure hostvõtme (256 KB), põhjustades kliendil liigset mälutarbimist ja käivitades käsitlemata tõrkeseisundi.
CVE-2025-26466: mäluleke ja liigne protsessori tarbimine SSH-s
Teine haavatavus, mis parandati, on CVE-2025-26466 ja see haavatavus mõjutab nii ssh-klienti kui ka sshd-serverit, alates võimaldab mälu tühjendada protsessist ja genereerida kõrge protsessori koormus, saates korduvalt SSH2_MSG_PING pakette.
Selle haavatavuse suur mõju seisneb selles, et Seda saab kasutada ilma autentimiseta ja see mõjutab OpenSSH-d alates versioonist 9.5p1 (august 2023). Lisaks võimaldab see ründajal tarbida süsteemiressursse, halvendades jõudlust ja põhjustades isegi teenuse keelamise (DoS).
Selle rikke põhjuste kohta mainitakse, et see on tingitud asjaolust, et Iga sissetulev 2-baidine SSH16_MSG_PING pakett põhjustab 256-baidise puhvri eraldamise mälus. Seda puhvrit ei vabastata enne, kui võtmeleping on lõpule viidud, mille tulemuseks on mäluleke, kui saadetakse mitu PING-paketti.
Leevendus ja lahendus
Lahendusena Soovitatav on seada piiranguid failis sshd_config, kasutades järgmisi direktiive:
- GraceTime sisselogimisaeg: See piirab autentimise ajalõpu.
- MaxStartups: piirab autentimata ühenduste arvu.
- PerSource Penalties: rakendab trahve klientidele, kes loovad mitu ühenduskatset.
Ja mis puutub lahendused, Esimene ja kõige soovitatavam on uuendage OpenSSH välja antud versioonile "9.9p2" niipea kui võimalik, et need haavatavused parandada. Kui aga viivitamatu uuendamine ei ole teostatav, tuleks rakendada ülalnimetatud leevendusmeetmeid. Lisaks on soovitatav keelata VerifyHostKeyDNS, kui ei kasutata usaldusväärseid DNSSEC-i kinnitusmehhanisme.
Kui olete huvitatud sellest rohkem teada, saate üksikasju vaadata järgmine link.
Kuidas installida OpenSSH Linuxi?
Neile, kes on huvitatud OpenSSH-i uue versiooni installimisest oma süsteemidesse, praegu saavad nad seda teha selle lähtekoodi allalaadimine ja kompileerimise teostamine oma arvutites.
Seda seetõttu, et uut versiooni ei ole veel Linuxi peamiste distributsioonide hoidlatesse lisatud. Lähtekoodi saamiseks saate teha järgmist järgmine link.
Allalaadimine on tehtud, nüüd pakendi pakkimine järgmise käsuga:
tar -xvf openssh-9.9p2.tar.gz
Sisestame loodud kataloogi:
cd openssh-9.9p2
Y saame koostada koos järgmised käsud:
./configure --prefix = / opt --sysconfdir = / etc / ssh tee make install