CVE-2026-3497: уязвимость в ОpenSSH, используемом в Linux

linux, openssh, безопасность

0

3

В применяемом во многих дистрибутивах Linux патче gssapi.patch, добавляющем в OpenSSH поддержку обмена ключей на базе GSSAPI, выявлена уязвимость, приводящая к повреждению памяти и обходу механизма разделения привилегий. Уязвимость может быть эксплуатирована удалённо. В настоящее время наличие уязвимости подтверждено в Debian и Ubuntu. Уязвимость проявляется при включении в настройках опции «GSSAPIKeyExchange yes».

Что характерно, в своё время разработчики OpenSSH отказались принимать изменение для поддержки GSSAPI, т.к. были сомнения в его безопасности. Однако многие дистрибутивы Linux включили этот патч в свои пакеты c OpenSSH.

Отчёт на debian.org

>>> Подробности (OpenNet)

Ссылка

←	smath 1.0.0 — библиотека линейной алгебры для языка C++ (стандарт C++23)

Это фоотопик, но тем не менее. Не знаю, как в openssh-server, а в openssh-client коммитят как бог на душу положит. Яркий пример - говнокод ssh-keygen. Ощущение такое, что скубенты, скучающие в МТИ и Беркли от лекций по математике на перемене коммитят свои патчи, и их такие же скубенты принимают. Это я не в плане безопасности, а в плане структуры исходников, ортогональности опций командной строки, эффективности работы с железками… Мрак.

seiken ★★★★★
(13.03.26 13:17:36 MSK)

Опять эти мейнтейнеры суют свои шаловливые ручонки в чужой код и что-нибудь ломают.

X512 ★★★★★
(13.03.26 13:21:55 MSK)

Ответ на: комментарий от seiken 13.03.26 13:17:36 MSK

За «Базар» ответишь!

BydymTydym ★★
(13.03.26 13:49:23 MSK)

ждём экспертного мнения rust-экспертов.

splinter ★★★★★
(13.03.26 13:59:11 MSK)

Ответ на: комментарий от seiken 13.03.26 13:17:36 MSK

Беркли

о, эти так вообще враги, теперь официально

unclestephen ★
(13.03.26 14:01:27 MSK)

Ссылка

Ответ на: комментарий от splinter 13.03.26 13:59:11 MSK

Тоже удивляюсь, и почему такие крутые парни из опен-бзди тим не пишут на расте? Они что, ЛОР не читают?

Lusine
(13.03.26 14:21:33 MSK) автор топика

Ссылка

Ответ на: комментарий от seiken 13.03.26 13:17:36 MSK

коммитят как бог на душу положит

Ожидание: средств на уровне языка не достаточно, нужен скилл и юнит тесты!

Реальность: нет ни средств на уровне языка, ни скилла, ни юнит тестов)

goingUp ★★★★★
(13.03.26 14:51:12 MSK)

Ссылка

Ответ на: комментарий от X512 13.03.26 13:21:55 MSK

ssh HOST «grep GSSAPIAuthentication /etc/ssh/sshd_config»
#GSSAPIAuthentication no

mumpster ★★★★★
(13.03.26 15:06:19 MSK)
Последнее исправление: mumpster 13.03.26 15:06:26 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от BydymTydym 13.03.26 13:49:23 MSK

Отвечу. Была нужда оптимизировать работу с pkcs11. Зашёл в исходники ssh-keygen, долго плевался.

seiken ★★★★★
(13.03.26 15:12:39 MSK)

Ссылка

we don’t like adding new KEX since they are pre-auth attack surface.

Из описания почему патч не принимали в мастер. Иронично, да.

Dark_SavanT ★★★★★
(13.03.26 15:21:21 MSK)

Ссылка

Правильно я всякую непонятную муть отключаю из его конфига.

Впрочем, GSS этот в дебиане и так дефолтно выключен.

firkax ★★★★★
(13.03.26 16:42:20 MSK)
Последнее исправление: firkax 13.03.26 16:44:44 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от seiken 13.03.26 13:17:36 MSK

ssh-keygen это не клиент а вспомогательная штука, и используется она на обеих сторонах, но по идее обычно только 1 раз при настройке системы.

firkax ★★★★★
(13.03.26 16:47:37 MSK)

Ссылка

Для того чтобы оставить комментарий войдите или зарегистрируйтесь.

←	smath 1.0.0 — библиотека линейной алгебры для языка C++ (стандарт C++23)

Безопасность