Призраки Беркли в 2026 году. Разработчики OpenSSH нашли баг в коде, который старше многих из нас
NewsMakerВсё об обновлении OpenSSH 10.3 для тех, кто заботится о безопасности.
Разработчики OpenSSH выпустили версию 10.3 – и на этот раз обновление получилось куда серьёзнее, чем обычные плановые патчи. Команда закрыла сразу несколько уязвимостей, одна из которых существовала ещё в оригинальном коде Berkeley rcp – утилиты, которой уже несколько десятилетий.
Самая неожиданная находка касается команды scp: при скачивании файлов под учётной записью root в режиме совместимости флаги setuid и setgid не сбрасывались с загружаемых файлов. Вредоносный файл мог сохранить расширенные права на исполнение – поведение, восходящее к временам оригинального rcp из BSD. Ошибку обнаружил Христос Папаконстантину из Cantina и Spearbit.
Там же нашлась проблема в sshd: директивы PubkeyAcceptedAlgorithms и HostbasedAcceptedAlgorithms неверно обрабатывали ECDSA-ключи. Достаточно было указать в конфигурации один алгоритм ECDSA – например, ecdsa-sha2-nistp384 – и сервер молча принимал любые другие алгоритмы из семейства ECDSA, даже не включённые в список.
Серьёзного внимания заслуживает и уязвимость в ssh: валидация shell-метасимволов в именах пользователей выполнялась слишком поздно. При определённых конфигурациях с токеном %u в блоке Match exec атакующий, контролирующий имя пользователя, мог выполнить произвольные команды оболочки. Об уязвимости сообщил Флориан Конхойзер. Разработчики напомнили, что напрямую передавать командную строку ssh недоверенному вводу – изначально плохая идея, а подобные защитные меры не могут быть абсолютными.
Разработчики OpenSSH выпустили версию 10.3 – и на этот раз обновление получилось куда серьёзнее, чем обычные плановые патчи. Команда закрыла сразу несколько уязвимостей, одна из которых существовала ещё в оригинальном коде Berkeley rcp – утилиты, которой уже несколько десятилетий.
Самая неожиданная находка касается команды scp: при скачивании файлов под учётной записью root в режиме совместимости флаги setuid и setgid не сбрасывались с загружаемых файлов. Вредоносный файл мог сохранить расширенные права на исполнение – поведение, восходящее к временам оригинального rcp из BSD. Ошибку обнаружил Христос Папаконстантину из Cantina и Spearbit.
Там же нашлась проблема в sshd: директивы PubkeyAcceptedAlgorithms и HostbasedAcceptedAlgorithms неверно обрабатывали ECDSA-ключи. Достаточно было указать в конфигурации один алгоритм ECDSA – например, ecdsa-sha2-nistp384 – и сервер молча принимал любые другие алгоритмы из семейства ECDSA, даже не включённые в список.
Серьёзного внимания заслуживает и уязвимость в ssh: валидация shell-метасимволов в именах пользователей выполнялась слишком поздно. При определённых конфигурациях с токеном %u в блоке Match exec атакующий, контролирующий имя пользователя, мог выполнить произвольные команды оболочки. Об уязвимости сообщил Флориан Конхойзер. Разработчики напомнили, что напрямую передавать командную строку ssh недоверенному вводу – изначально плохая идея, а подобные защитные меры не могут быть абсолютными.