Paar dagen geleden, Damian Miller (een van de ontwikkelaars van OpenSSH), maakte het bekendvia mailinglijsten, de OpenSSH 9.9p2 onderhoudsrelease dat lost twee kritieke kwetsbaarheden op ontdekt door Qualys, die gebruikt kon worden om Man-in-the-Middle (MITM)-aanvallen uit te voeren.
Er wordt vermeld dat deze fouten een aanvaller in staat stelde SSH-verbindingen te onderscheppen en de client ertoe verleiden de sleutel van een kwaadaardige server te accepteren in plaats van de legitieme sleutel van de doelserver.
CVE-2025-26465: SSH-sleutelverificatie omzeilen
De eerste kwetsbaarheid die in de release van deze corrigerende versie is opgelost, is CVE-2025-26465. Deze kwetsbaarheid is te wijten aan een logische fout in het ssh-hulpprogramma, waarmee een aanvaller de verificatie van de serversleutel kan omzeilen en met succes een MITM-aanval kan uitvoeren.
Wanneer een cliënt probeert verbinding te maken naar een SSH-server, Een aanvaller kan verkeer omleiden naar een nep-server en ervoor zorgen dat de client zonder waarschuwing de onjuiste sleutel accepteert, in de veronderstelling dat deze verbinding heeft met de legitieme server.
Daarnaast heeft deze kwetsbaarheid het volgende tot gevolg:
- Het is aanwezig in OpenSSH sinds versie 6.8p1 (december 2014).
- Wordt geactiveerd wanneer de optie VerifyHostKeyDNS is ingeschakeld.
- In de basisconfiguratie van OpenSSH is deze optie standaard uitgeschakeld, maar in FreeBSD was deze ingeschakeld tot maart 2023.
Wat de oorzaken betreft die deze storing veroorzaken, wordt vermeld dat Dit komt doordat de functie verify_host_key_callback() verify_host_key() aanroept, maar het controleert alleen of de geretourneerde foutcode -1 is en negeert andere foutcodes zoals -2. Wanneer verify_host_key() retourneert -2 wanneer er onvoldoende geheugen is, maar door het weglaten van de foutcode, Het systeem gaat er ten onrechte van uit dat de hostsleutel is geverifieerd correct.
Een aanvaller kan deze fout misbruiken door een nep-SSH-server te maken die een grote hostsleutel (256 KB) verstuurt. Dit veroorzaakt overmatig geheugengebruik op de client en zorgt voor de foutmelding 'onverwerkte fout'.
CVE-2025-26466: Geheugenlek en overmatig CPU-verbruik in SSH
De tweede kwetsbaarheid die is opgelost is CVE-2025-26466 en deze kwetsbaarheid heeft invloed op zowel de ssh-client als de sshd-server, sinds maakt het mogelijk om het geheugen uit te putten van het proces en genereren een hoge CPU-belasting door herhaaldelijk SSH2_MSG_PING-pakketten te verzenden.
De grote impact van deze kwetsbaarheid ligt in het feit dat Het kan zonder authenticatie worden misbruikt en heeft invloed op OpenSSH sinds versie 9.5p1 (augustus 2023). Bovendien kan een aanvaller hiermee systeembronnen verbruiken, de prestaties verslechteren en zelfs een denial-of-service (DoS) veroorzaken.
Wat betreft de oorzaken die dit falen veroorzaken, wordt vermeld dat dit komt doordat Elk binnenkomend 2-byte SSH16_MSG_PING-pakket zorgt ervoor dat er een buffer van 256 bytes wordt toegewezen ter nagedachtenis. Deze buffer wordt pas vrijgegeven als de sleutelovereenkomst is voltooid. Hierdoor ontstaat een geheugenlek wanneer er meerdere PING-pakketten worden verzonden.
Mitigatie en oplossing
Als tijdelijke oplossing: Het is aan te raden om beperkingen in te stellen in sshd_config met behulp van de volgende richtlijnen:
- InloggenGraceTime: Hiermee wordt de time-out voor authenticatie beperkt.
- MaxStartups: beperkt het aantal niet-geverifieerde verbindingen.
- PerSourcePenalties: past sancties toe op clients die meerdere verbindingspogingen genereren.
En wat betreft de oplossingen, De eerste en meest aanbevolen is upgrade OpenSSH naar de uitgebrachte versie, “9.9p2” om deze kwetsbaarheden zo snel mogelijk te verhelpen. Als een directe verbetering niet haalbaar is, moeten de hierboven genoemde maatregelen worden toegepast. Daarnaast wordt aanbevolen om VerifyHostKeyDNS uit te schakelen, tenzij betrouwbare DNSSEC-verificatiemechanismen worden gebruikt.
Wanneer je geïnteresseerd om er meer over te weten, u kunt de details inchecken de volgende link.
Hoe installeer ik OpenSSH op Linux?
Voor degenen die geïnteresseerd zijn om deze nieuwe versie van OpenSSH op hun systemen te kunnen installeren, voor nu kunnen ze het doen het downloaden van de broncode van deze en het uitvoeren van de compilatie op hun computers.
Dit komt doordat de nieuwe versie nog niet is opgenomen in de repositories van de belangrijkste Linux-distributies. Om de broncode te krijgen, kunt u doen van de volgende link.
Klaar met downloaden, nu gaan we het pakket uitpakken met het volgende commando:
tar -xvf openssh-9.9p2.tar.gz
We gaan de aangemaakte directory binnen:
cd opent ssh-9.9p2
Y waarmee we kunnen compileren de volgende commando's:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install