OpenSSH loyihasi 2026-yil 2-aprel kuni 10.3 va 10.3p1 versiyalarini chiqardi. Bu oddiy yangilanish emas — unda bir nechta muhim xavfsizlik muammolari yopildi va ayrim xavfli xatti-harakatlar butunlay o‘zgartirildi.
Eng asosiy muammo -J (ProxyJump) opsiyasi bilan bog‘liq edi. Oldingi versiyalarda bu parametr orqali uzatilgan user va host qiymatlari tekshirilmagan.
Natija esa juda oddiy va xavfli:
👉 agar bu qiymatlar tashqi manbadan olingan bo‘lsa, hujumchi shell injection orqali tizimda buyruqlarni ishga tushirishi mumkin bo‘lgan.
Bu zaiflik “rabbit” nomli tadqiqotchi tomonidan aniqlangan. OpenSSH jamoasi ham ochiq aytgan — bunday parametrlarni ishonchsiz manbadan olish aslida boshidan xato yondashuv.
Lekin baribir…
Yangi versiyada bu muammo yopildi. Endilikda ProxyJump orqali uzatilgan qiymatlar qat’iy tekshiriladi va zararli yoki noto‘g‘ri input darhol rad etiladi.
⚠️ Ammo kichik bir detal bor: bu himoya faqat command-line uchun amal qiladi. Config fayllar esa hali ham tekshiruvsiz qolmoqda.
Yana bir qiziq va xavfli “edge case” ham mavjud edi.
Oldingi versiyalarda agar SSH sertifikatida principals bo‘limi bo‘sh bo‘lsa, tizim uni avtomatik tarzda “hamma foydalanuvchilar” sifatida qabul qilgan.
Bu esa shuni anglatadi:
👉 noto‘g‘ri berilgan bitta sertifikat orqali istalgan user sifatida tizimga kirish mumkin bo‘lgan.
Bu dizayn bo‘yicha qilingan qaror edi, lekin amalda juda xavfli holat yaratgan.
Endi esa bu butunlay o‘zgardi.
“Bo‘sh principals” endi hech kimga mos kelmaydi. Ya’ni wildcard xatti-harakati olib tashlandi va shu orqali katta xavf yopildi.
Shu bilan birga, wildcard ishlash qoidalari ham aniq qilib qo‘yildi.
Host sertifikatlar — OK
User sertifikatlar — yo‘q
Bu esa access control’ni ancha tushunarli va xavfsiz qiladi.
Yana bir muhim o‘zgarish — eski SSH tizimlari bilan bog‘liq.
OpenSSH endi rekeying funksiyasini qo‘llab-quvvatlamaydigan eski client va serverlar bilan moslikni olib tashladi.
Bu nimani anglatadi?
👉 eski tizimlar bilan ulanish vaqt o‘tishi bilan uziladi
Bu noqulay tuyulishi mumkin, lekin aslida xavfsizlikni kuchaytirish uchun qilingan qaror.
Mutaxassislar ayniqsa quyidagi holatlarda update’ni kechiktirmaslikni tavsiya qilmoqda:
— agar siz SSH orqali server boshqarsangiz
— agar ProxyJump avtomatik generatsiya qilinsa
— yoki user input ishlatilayotgan bo‘lsa
Chunki bu zaiflik real hujumlar uchun juda qulay bo‘lgan.
Shuningdek, mavjud SSH sertifikatlarni ham tekshirib chiqish tavsiya etiladi. Ayniqsa principals bo‘limi bo‘sh bo‘lmaganiga ishonch hosil qilish muhim.
OpenSSH yana bir bor ko‘rsatdi:
ba’zi eng xavfli muammolar — murakkab exploitlarda emas, balki kichik va e’tibordan chetda qolgan detallarda yashirinadi.
