OpenSSH 5.9 z opcjonalną piaskownicą dla procesów potomnych

Wydana została wersja 5.9 rozwijanej przez OpenBSD, darmowej implementacji protokołu SSH 1.3, 1.5, 2.0 i SFTP — OpenSSH (Open Secure Shell). Wśród wielu zmian, które wprowadzono od poprzedniej wersji OpenSSH, najbardziej znamienną jest eksperymentalna piaskownica.

Tryb piaskownicy jest na razie w fazie testów i nie jest włączony domyślnie. Piaskownica jest przeznaczona dla procesów korzystających z metody privsep (separacja uprawnień), wykonujących operacje wymagające uprawnień roota. Wywołany bezpośrednio przed autoryzacją proces potomny, który korzysta z privsep, jest w tym trybie umieszczony w piaskownicy nakładającej ograniczenia na wywołania systemowe (syscall), które proces może wykonać. Pozwala to zabezpieczyć serwer przed wykorzystaniem przejętego przez napastników procesu potomnego do dostępu do jądra lub otwarcia gniazda (socketu). Za włączenie trybu piaskownicy odpowiedzialna jest opcja UsePrivilegeSeparation=sandbox w konfiguracji. Dostępne są trzy implementacje piaskownicy — systrace, seatbelt i rlimit — o których więcej można dowiedzieć się na stronie OpenSSH.

Ponadto w tej wersji OpenSSH wprowadzono nowe tryby kontroli spójności HMAC oparte na SHA256 ze specyfikacji draft-dbider-sha2-mac-for-ssh-02, które są domyślnie dostępne dla ssh i sshd. Klient ssh nareszcie wyświetla komunikat ostrzegawczy, jeśli serwer, z którym się łączy, odrzuca przekazywanie X11. Pełną listę zmian w OpenSSH i Portable OpenSSH można znaleźć na stronie projektu.

OpenSSH 5.9 już można pobrać z serwerów FTP, a już wkrótce do repozytoriów pakietów dla różnych systemów.