The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

22.04.2012 11:42  Релиз OpenSSH 6.0

Представлен релиз OpenSSH 6.0, открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP. Несмотря на значительный номер версии, изменений представлено относительно немного, по сравнению с прошлыми выпусками. Релиз позиционируется как корректирующий, а номер версии стоит рассматривать как плавное продолжение нумерации в десятичном исчислении, при которой после 5.9 выпускается не версия 5.10, а 6.0. Заметное улучшение внесено только в Portable-версию, в которой добавлена поддержка специфичного для Linux нового режима изоляции "seccomp sandbox".

Основные изменения:

  • Новый режим изоляции привилегий для Linux - "seccomp sandbox", автоматически включаемый при сборке на системах, поддерживающих технологию seccomp filter. Так как подсистема seccomp filter пока не включена в состав основного ядра, её поддержка в дистрибутивах сильно ограничена. Тем не менее, дело скоро должно сдвинуться с мёртвой точки, так как поддержка seccomp filter будет обеспечена по умолчанию в 64-разрядной сборке Ubuntu 12.04. Стимулировать интеграцию seccomp filter также должен факт обеспечения поддержки данной технологии в важнейших сетевых приложениях, таких как vsftpd и OpenSSH. Кроме того, компания Google намерена активировать seccomp filter для усиления защиты в проекте Chromium.

    Принцип работы seccomp filter сводится к ограничению доступа к системным вызовам. При этом, важной особенностью является то, что логика выставляемых ограничений задаётся на уровне защищаемого приложения, а не через задание внешних ограничений, как в случае AppArmor или SELinux. В код программы добавляется структура с перечнем допустимых системных вызовов (например, ALLOW_SYSCALL) и реакции в случае несовпадения (например, KILL_PROCESS). Доступ к системным вызовам определяется в виде правил, оформленных в BPF-представлении (Berkeley Packet Filter), которое получило распространение в системах фильтрации сетевых пакетов.

    Система seccomp позволяет реализовывать достаточно сложные правила доступа, учитывающие передаваемые и возвращаемые аргументы. Программа сама определяет какие системные вызовы ей необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, что позволяет ограничить возможности атакующего в случае эксплуатации уязвимости в защищённом при помощи seccomp приложении. Возможность задания фильтров аргументов позволяет также защититься от большинства атак, эксплуатирующих уязвимости в системных вызовах. Например, выявленные за последние годы критические уязвимости в glibc и ядре Linux, такие как AF_CAN, sock_sendpage и sys_tee, успешно блокируются при надлежащем использовании seccomp.

  • В ssh-keygen добавлены дополнительные точки контроля для экранирования модулей;
  • В ssh-add добавлена опция "-k" для загрузки только ключей, пропуская загрузку сертификатов;
  • В sshd добавлена поддержка указания масок в опции PermitOpen. Например, теперь можно указывать такие правила, как "PermitOpen localhost:*";
  • В ssh реализована возможность отмены локального или удалённого переброса портов, осуществлённого через мультиплексированный сокет, обслуживающих также другие соединения. Для отмены проброса следует использовать "ssh -O cancel -L xx:xx:xx -R yy:yy:yy user_at_host";
  • Поддержка отмены локального/динамического проброса из командной строки, активируемой через "~C";
  • Добавлена опциональная поддержка LDNS, библиотеки для выполнения DNS-запросов (resolver), поддерживающей DNSSEC и распространяемой под лицензией BSD;
  • Устранены проблемы со сборкой во FreeBSD, при использовании варианта libutil с функцией openpty(), но без login();
  • Налажена сборка на основании включённого в состав spec-файла для создания RPM-пакетов;
  • Переработана проверка версии OpenSSL, что позволяет запускать исполняемые файлы OpenSSH с более новыми ветками OpenSSL, чем использовались для сборки (ранее проверялась только версия патча, т.е. если OpenSSH собран с 1.0.0h, то он работал с 1.0.0i, а теперь ещё будет работать и с 1.0.1a);
  • Устранено несколько утечек памяти и файловых дескрипторов.


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Релиз OpenSSH 5.9
  3. OpenNews: Пример анализа потенциально серьезной уязвимости в OpenSSH
  4. OpenNews: Для OpenSSH реализована поддержка дополнительной изоляции
  5. OpenNews: Вышло обновление OpenSSH 5.8 с исправлением недоработки, связанной с безопасностью
  6. OpenNews: Релиз OpenSSH 5.7
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.4, bircoph, 14:34, 22/04/2012 [ответить] [смотреть все]
  • –1 +/
    С чего это seccomp нет в ванильном ядре?
    CONFIG_SECCOMP=y
    даже в 2.6.38 (ванилька)
     
     
  • 2.5, Аноним, 15:28, 22/04/2012 [^] [ответить] [смотреть все]
  • +/
    Автор новости путает seccomp и seccomp filter.
     
     
  • 3.7, Xasd, 16:27, 22/04/2012 [^] [ответить] [смотреть все]
  • +1 +/
    > Автор новости путает seccomp и seccomp filter.

    или просто сократил, так как очевидно: "Мы говорим ленин, подразумеваем -- Партия. ..."

     
     
  • 4.8, Аноним, 16:49, 22/04/2012 [^] [ответить] [смотреть все]
  • –1 +/
    Ты ещё предложи GNU/Linux до Linux сократить.
     
     
  • 5.9, Аноним, 18:18, 22/04/2012 [^] [ответить] [смотреть все]
  • –1 +/
    Это уже слишком сложно Сначала надо разобраться Linux и Linus - это муж и жена... весь текст скрыт [показать]
     
     
  • 6.10, Аноним, 18:49, 22/04/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    > два совершенно разных человека?

    А Слава КПСС - вообще не человек!

     
     
  • 7.11, Анон, 21:16, 22/04/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Человек. Зовут Слава, фамилия КПСС. Коренной москвич.
     
  • 2.12, Аноним, 21:17, 22/04/2012 [^] [ответить] [смотреть все]  
  • +/
    В OpenSSH seccomp filter, а не просто seccomp.
     
  • 1.13, pavlinux, 23:04, 22/04/2012 [ответить] [смотреть все]  
  • +/
    > добавлена поддержка специфичного

    Правильно, защищенные соединения тоже надо защищать.

     
     
  • 2.17, XoRe, 01:27, 24/04/2012 [^] [ответить] [смотреть все]  
  • +/
    >> добавлена поддержка специфичного
    > Правильно, защищенные соединения тоже надо защищать.

    Защищающий защищатор для защищения)

     
  • 1.14, Аноним, 11:23, 23/04/2012 [ответить] [смотреть все]  
  • –1 +/
    For Slackware 13 37 - ftp ifconfig com ua pub Software Linux Slackware Network... весь текст скрыт [показать]
     
  • 1.15, Kibab, 12:47, 23/04/2012 [ответить] [смотреть все]  
  • +/
    Отличная новость про seccomp sandboxing. Значит, на FreeBSD будет легче запилить Capsicum на то же место.
     
  • 1.16, x0r, 13:16, 23/04/2012 [ответить] [смотреть все]  
  • +/
    новый способ убить удаленный процесс)) а так да - полезная штука
     
  • 1.18, Kibab, 01:55, 24/04/2012 [ответить] [смотреть все]  
  • –1 +/
    Аккурат к 142-й годовщине рождения Вождя Мирового Пролетариата. Ура, товарищи!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList