CVE-2026-3497: уязвимость в ОpenSSH, используемом в Linux

Это фоотопик, но тем не менее. Не знаю, как в openssh-server, а в openssh-client коммитят как бог на душу положит. Яркий пример - говнокод ssh-keygen. Ощущение такое, что скубенты, скучающие в МТИ и Беркли от лекций по математике на перемене коммитят свои патчи, и их такие же скубенты принимают. Это я не в плане безопасности, а в плане структуры исходников, ортогональности опций командной строки, эффективности работы с железками… Мрак.

Опять эти мейнтейнеры суют свои шаловливые ручонки в чужой код и что-нибудь ломают.

За «Базар» ответишь!

ждём экспертного мнения rust-экспертов.

Беркли

о, эти так вообще враги, теперь официально

Тоже удивляюсь, и почему такие крутые парни из опен-бзди тим не пишут на расте? Они что, ЛОР не читают?

коммитят как бог на душу положит

Ожидание: средств на уровне языка не достаточно, нужен скилл и юнит тесты!

Реальность: нет ни средств на уровне языка, ни скилла, ни юнит тестов)

ssh HOST «grep GSSAPIAuthentication /etc/ssh/sshd_config»
#GSSAPIAuthentication no

Отвечу. Была нужда оптимизировать работу с pkcs11. Зашёл в исходники ssh-keygen, долго плевался.

we don’t like adding new KEX since they are pre-auth attack surface.

Из описания почему патч не принимали в мастер. Иронично, да.

Правильно я всякую непонятную муть отключаю из его конфига.

Впрочем, GSS этот в дебиане и так дефолтно выключен.

ssh-keygen это не клиент а вспомогательная штука, и используется она на обеих сторонах, но по идее обычно только 1 раз при настройке системы.

Запретить BSDеть,товарищ!

разработчики OpenSSH отказались принимать изменение для поддержки GSSAPI

Le classique. Мейнтейнеры в очередной раз решили, что знают лучше, чем разработчики софта - получите, распишитесь. На этот раз дырявым оказался васянский ZverSSH.

многие дистрибутивы

Точно включили Fedora и Debian. Нормальные дистры, типа Arch, которые предоставляют максимально ванильный софт - нет.

Я, кстати, только собрался написать новость о SQLite 3.52.0.

https://sqlite.org/news.html:

2026-03-06 - Version 3.52.0

SQLite version 3.52.0 is a major release with many important changes, the two most important of which (in my opinion) are:

1. A 15-year-old database corruption bug was discovered just a few days ago, and is now fixed.
2. The command-line interface utility has been significantly enhanced, especially in how it formats of query results.

Но её отозвали:

Due to backwards-compatibility issues associated with some new features, the 3.52.0 release has been withdrawn.

Выпустили 3.51.3 с исправлением этой ошибки.

GSSAPI

А на кой хрен оно нужно? Кто-то этим пользовался на практике?

Тоже удивляюсь, и почему такие крутые парни из опен-бзди тим не пишут на расте? Они что, ЛОР не читают?

Когда появилось электрическая лампочка, многие люди всё ещё пользовались свечами и боялись, что провода «выкачают» кислород из комнат.

А на кой хрен оно нужно? Кто-то этим пользовался на практике?

Это нужно для Kerberos, чтобы доменный SSO использовать.

Как я говорю своим студентам — «По старой доброй опенсорсно-линуксовой традиции…»

Это нужно для Kerberos, чтобы доменный SSO использовать.

Ясно, мерси. Наследие прошлых веков. Я так понимаю сейчас это делается через какой-нибудь Teleport или аутентификацию по сертификатам.

CVE-2026-3497: уязвимость в ОpenSSH, используемом в Linux

Паажыте, не фиксите! Мы в линуксе используем!

Р Е Ш Е Т О !

Однако они в некотором аспекте предвидели будущее. И хоть опасными оказались не те лампочки, а «умные с цифровым управлением» и опасность в выкачивании вовсе не кислорода, а аудио-видео записей, но, тем не менее, их осторожность была верной. Так что твоя аналогия хорошая.

кстати, Кемерон показал, что будет если изобрести ИИ и робототехнику умнее человека, но люди упорно идут по этому сценарию, мы все рискуем застать события из Терминатор 2

Кемерон показал, что будет если изобрести ИИ и робототехнику умнее человека

так он же показал, что сапиенс победил, интеллектом задавил

не нужно быть умнее разработчиков апстрима…

Оно выключено по дефолту.

Это нужно для Kerberos, чтобы доменный SSO использовать.

Ясно, мерси. Наследие прошлых веков. Я так понимаю сейчас это делается через какой-нибудь Teleport или аутентификацию по сертификатам.

Не знаю как там в новомодных стартапах, а в Энтерпрайзе вовсю используется. Не могу сказать, что оно хорошо и отлично решает задачи, но что пользуются - точно.

в правильных дистрибутивах этого даже в доступных USE нет

net-misc/openssh
Доступные версии: 9.8_p1-r4^t 9.9_p2-r4^t 10.0_p1^t{tbz2} 10.0_p2^t{tbz2} ~10.1_p1-r1^t 10.2_p1^t{tbz2} ~10.2_p1-r1^t {audit debug kerberos ldns legacy-ciphers libedit livecd pam +pie security-key selinux +ssl static test verify-sig xmss ABI_MIPS=«n32»}
Установленные версии: 10.2_p1^t{tbz2}(18:32:55 13.12.2025)(pam ssl -audit
-debug -kerberos -ldns -libedit -livecd -security-key -selinux -static -test -verify-sig ABI_MIPS="-n32")
Домашняя страница: https://www.openssh.com/
Описание: Port of OpenBSD's free SSH release

Хорошо бы к таким новостям обязательно прикладывать способ экспресс-проверки наличия работающей уязвимости, как узнать по версии или выполнить ченить

Однострочник на перле :) погрепай конфиг, тут в треде было

Уж лучше

sshd -T | grep GSSAPI

а то, мало ли какой ещё конфиг sshd цепляет.

этого даже в доступных USE нет

Но это связано с kerberos. Возможно, если в USE будет kerberos, то gssapi само подтянется.

Я, кстати, только собрался написать новость о SQLite 3.52.0.

Ну и где она??..

Выпустили 3.51.3 с исправлением этой ошибки.

Ну так а новость-то ГДЕ??..

Ну так а новость-то ГДЕ??..

В планах. :)

Дждём-с... С нетер Пением... ;))

ну у себя-то я знаю кто и какой конфиг цепляет ;-)

ИИ уже посмотрел этот фильм и делает выводы, в отличии от

До сих пор слышу от не очень умных людей как электрический обогреватель кислород сжигает.

Не Иванов, а Рабинович, не в лотерею, а в преферанс, не Волгу, а три рубля, не выиграл, а проиграл.

я знаю кто и какой конфиг цепляет

Это хорошо :)

Но через sshd -T видно, можно ли вобще включить GSSAPI, или он не вкомпилирован в sshd. При компиляции sshd из конфига не удаляются не поддерживаемые опции, там может быть #GSSAPIAuthentication no, но включить нельзя, sshd понимает такой опции. Надо же всяким маргинальным дистрам как-то выпендриться :))

В Haiku сей патч уже втащили??

Вроде бы нет: https://github.com/haikuports/haikuports/blob/master/net-misc/openssh/patches/openssh-10.2p1.patchset

Teleport

это тот который замедляет скачивание с их cdn, точнее я не знаю кто замедляет

сайт нормально открывается, а скачать нельзя

недавно был в Питере, много думал

Я, кстати, только собрался написать новость о SQLite 3.52.0.

Ну и где она??..

А вот:

[a1 ~]# pacman -Qs sqlite
...
local/sqlite 3.52.0-1
    A C library that implements an SQL database engine

Withdrawn my ass. :)

Единственные выводы, которые ИИ сделал - что сапиенс победил.

USE+=kerberos
там включает ./configure --with-kerberos5

из патчей там только это
* Applying openssh-9.4_p1-Allow-MAP_NORESERVE-in-sandbox-seccomp-filter-maps.patch ...
[ ok ]
* Applying openssh-9.7_p1-config-tweaks.patch ...
[ ok ]

хотя да, могло бы и включать, если мы майнтейнер был более шаловлив, а вот в Дебиане майнтейнеров openssh/openssl грабли, похоже, ничему так и не научили, хорошо хоть по умолчанию выключено в данном случае

А ./configure и посмотрит, если ли у системного kerberos gssapi и включит его. Обсуждаемый патч gssapi.patch, вроде как, не содежит каких-то дополнительных опций для ./configure. То есть, если он установлен, то включение gssapi включит и всё из этого патча.

Хотя, да, этот патч в gentoo не включили, а я затупил, рассуждая из названия патча. ИМХО, патч должен был называться gssapi-keyexchange.patch.

грабли, похоже, ничему так и не научили,

Ну, они были более последовательны. Раз GSSAPI в ssh включили (в 2001 году), то почему бы не включить и следующий патч (GSSAPIKeyExchange), тем более у них один автор :)

Второй Терминатор – отличное кино! А ещё мы с друзьями недавно пересматривали под пиво классическую трилогию про Чужих, там тоже исчерпывающе показано, к чему привела патологическая любовь к деньгам одной жадной корпорации.

P.S. Корпорация, кстати, называлась Weyland-Yutani, практически Wayland :)

P.P.S Второй фильм опять-таки Кэмерон снимал.