Релиз OpenSSH 9.8

1 июля 2024 года состоялся релиз открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP — инструмента OpenSSH 9.8. В новой версии проекта исправлена критическая уязвимость CVE-2024-6387 (под названием regreSSHion), а также выпущен патч против уязвимости от защиты от атак по сторонним каналам и предложено несколько существенных изменений, нацеленных на повышение безопасности. Предыдущая стабильная версия OpenSSH 9.7 вышла в марте этого года.

Ранее эксперты по ИБ из Qualys опубликовали информацию, что в OpenSSH (с версии >= 8.5 и < 4.4) обнаружена критическая уязвимость CVE-2024-6387 под названием regreSSHion, позволяющая удалённо выполнить код с правами root на серверах и пользовательских ПК со стандартной библиотекой Glibc. Патч против уязвимости CVE-2024-6387 представлен в выпуске OpenSSH 9.8. Проследить за публикацией обновлений пакетов в дистрибутивах можно на страницах других проектов, включая Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Rosa Linux, Gentoo, ALT Linux, Arch и FreeBSD.

Также в новой версии OpenSSH исправлены ранее зафиксированные разработчиками ошибки, добавлены некоторые опции.

Согласно данным OpenNET, основные изменения и дополнения в OpenSSH 9.8:

• исправлена уязвимость, которая позволяет обойти добавленную в версии OpenSSH 9.5 защиту от атак по сторонним каналам, анализирующим задержки между нажатиями клавиш на клавиатуре для воссоздания ввода. Уязвимость позволяет отличить пакеты, создающие фоновую активность через симуляцию фиктивных нажатий клавиш, от пакетов, отправляемых при нажатии реальных клавиш, что снижает эффективность механизма скрытия особенностей интерактивного ввода в трафике в SSH. Данные о нажатиях позволяют использовать атаки, воссоздающие ввода на основе