Ilang araw na ang nakalilipas, Damian Miller (isa sa mga developer ng OpenSSH), ipinaalam ito, sa pamamagitan ng mga mailing list, ang OpenSSH 9.9p2 maintenance release ito inaayos ang dalawang kritikal na kahinaan natuklasan ni Qualys, na maaaring pagsamantalahan upang magsagawa ng mga pag-atake ng Man-in-the-Middle (MITM).
Nabanggit na ang mga pagkakamaling ito pinahintulutan ang isang umaatake na harangin ang mga koneksyon sa SSH at linlangin ang kliyente sa pagtanggap ng susi ng nakakahamak na server sa halip na ang lehitimong key ng target na server.
CVE-2025-26465: SSH key verification bypass
Ang una sa mga kahinaan na naayos sa paglabas ng corrective na bersyon na ito ay CVE-2025-26465. Ang kahinaan na ito ay dahil sa isang lohikal na error sa ssh utility, na nagbibigay-daan sa isang attacker na i-bypass ang server key verification at matagumpay na magsagawa ng MITM attack.
Kapag sinubukan ng isang kliyente na kumonekta sa isang SSH server, Ang isang umaatake ay maaaring mag-redirect ng trapiko sa isang pekeng server at maging dahilan upang tanggapin ng kliyente ang maling key nang walang babala, sa paniniwalang ito ay konektado sa lehitimong server.
Bilang karagdagan dito, ang kahinaan na ito:
- Ito ay naroroon sa OpenSSH mula noong bersyon 6.8p1 (Disyembre 2014).
- Na-trigger kapag pinagana ang pagpipiliang VerifyHostKeyDNS.
- Sa base na configuration ng OpenSSH, ang opsyong ito ay hindi pinagana bilang default, ngunit sa FreeBSD ito ay pinagana hanggang Marso 2023.
Tungkol naman sa mga dahilan na sanhi ng kabiguan na ito, ito ay nabanggit na Ito ay dahil ang verify_host_key_callback() function ay tumatawag sa verify_host_key(), ngunit sinusuri lamang nito kung ang ibinalik na error code ay -1, hindi pinapansin ang iba pang mga error code tulad ng -2. kailan verify_host_key() ay nagbabalik -2 kapag walang sapat na memorya, ngunit dahil sa pagtanggal ng error code, Maling ipinapalagay ng system na na-verify na ang host key tama.
Sa gayon, maaaring samantalahin ng isang umaatake ang kapintasan na ito sa pamamagitan ng paglikha ng pekeng SSH server na nagpapadala ng malaking host key (256 KB), na nagdudulot ng labis na pagkonsumo ng memorya sa kliyente at nagti-trigger ng hindi nakontrol na kundisyon ng error.
CVE-2025-26466: Memory leak at labis na pagkonsumo ng CPU sa SSH
Ang pangalawang kahinaan na naitama ay ang CVE-2025-26466 at ang kahinaang ito nakakaapekto sa parehong ssh client at sshd server, mula noon nagbibigay-daan upang maubos ang memorya ng proseso at bumuo ng mataas na load ng CPU sa pamamagitan ng paulit-ulit na pagpapadala ng mga SSH2_MSG_PING packet.
Ang malaking epekto ng kahinaan na ito ay nakasalalay sa katotohanan na Maaari itong pagsamantalahan nang walang pagpapatunay at nakakaapekto sa OpenSSH mula noong bersyon 9.5p1 (Agosto 2023). Bilang karagdagan, pinapayagan nito ang isang umaatake na kumonsumo ng mga mapagkukunan ng system, nagpapababa sa pagganap at maging sanhi ng pagtanggi sa serbisyo (DoS).
Tungkol sa mga sanhi na sanhi ng pagkabigo na ito, nabanggit na ito ay dahil sa katotohanan na Ang bawat papasok na 2-byte na SSH16_MSG_PING packet ay nagdudulot ng paglalaan ng 256-byte na buffer sa alaala. Ang buffer na ito ay hindi mapapalaya hanggang sa makumpleto ang pangunahing kasunduan, na nagreresulta sa isang memory leak kapag maraming PING packet ang ipinadala.
Pagbabawas at solusyon
Bilang isang solusyon, Inirerekomenda na magtakda ng mga paghihigpit sa sshd_config gamit ang mga sumusunod na direktiba:
- LoginGraceTime: Nililimitahan nito ang timeout para sa pagpapatunay.
- MaxStartups: nililimitahan ang bilang ng mga hindi napatunayang koneksyon.
- PerSourcePenalties: naglalapat ng mga parusa sa mga kliyente na bumubuo ng maraming pagtatangka sa koneksyon.
At tungkol sa mga solusyon, Ang una at pinaka inirerekomenda ay i-upgrade ang OpenSSH sa inilabas na bersyon, "9.9p2" sa lalong madaling panahon upang maitama ang mga kahinaang ito. Ngunit kung ang agarang pag-upgrade ay hindi magagawa, ang mga hakbang sa pagpapagaan na binanggit sa itaas ay dapat ilapat. Bukod pa rito, inirerekumenda na huwag paganahin ang VerifyHostKeyDNS maliban kung ang mga maaasahang mekanismo ng pag-verify ng DNSSEC ay ginagamit.
Kung ikaw interesadong malaman ang higit pa tungkol dito, maaari mong suriin ang mga detalye sa ang sumusunod na link.
Paano i-install ang OpenSSH sa Linux?
Para sa mga interesadong ma-install ang bagong bersyon ng OpenSSH na ito sa kanilang mga system, sa ngayon kaya nila ito pagda-download ng source code ng ito at isinasagawa ang pagtitipon sa kanilang mga computer.
Ito ay dahil ang bagong bersyon ay hindi pa naisasama sa mga repository ng pangunahing pamamahagi ng Linux. Upang makuha ang source code, maaari mong gawin mula sa ang sumusunod na link.
Tapos na ang pag-download, ngayon ay ilalabas namin ang zip sa package gamit ang sumusunod na utos:
tar -xvf openssh-9.9p2.tar.gz
Ipinasok namin ang nilikha na direktoryo:
cd openssh-9.9p2
Y maaari tayong makipagsama ang mga sumusunod na utos:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install