ከስድስት ወር እድገት በኋላ በኤስኤስኤች 8.9 እና በኤስኤፍቲፒ ፕሮቶኮሎች ላይ ለመስራት የደንበኛ እና አገልጋይ ክፍት ትግበራ OpenSSH 2.0 ተለቀቀ። አዲሱ የsshd ስሪት ያልተረጋገጠ መዳረሻን ሊፈቅድ የሚችል ተጋላጭነትን ያስተካክላል። ችግሩ የተፈጠረው በማረጋገጫ ኮድ ውስጥ ባለው የኢንቲጀር ሞልቶ በመፍሰሱ ነው፣ ነገር ግን በኮዱ ውስጥ ካሉ ሌሎች ምክንያታዊ ስህተቶች ጋር በማጣመር ብቻ ጥቅም ላይ ሊውል ይችላል።
አሁን ባለው መልኩ፣ የልዩነት መለያየት ሁነታ ሲነቃ ተጋላጭነቱ ጥቅም ላይ ሊውል አይችልም፣ ምክንያቱም መገለጫው በልዩ ልዩ ልዩ ልዩ ቼኮች የታገደው በልዩ ልዩ የመለያ ኮድ ውስጥ ነው። ከ2002 ጀምሮ ከOpenSSH 3.2.2 ጀምሮ የልዩነት መለያየት ሁነታ በነባሪነት የነቃ ሲሆን በ7.5 የታተመው OpenSSH 2017 ከተለቀቀ በኋላ የግዴታ ነው። በተጨማሪም፣ በተንቀሳቃሽ የOpenSSH ስሪቶች ከተለቀቀው 6.5 (2014) ጀምሮ ተጋላጭነቱ የታገደው የኢንቲጀር የትርፍ መከላከያ ባንዲራዎችን በማካተት ነው።
ሌሎች ለውጦች፡-
- በsshd ውስጥ ያለው ተንቀሳቃሽ የOpenSSH ስሪት MD5 ስልተ ቀመርን በመጠቀም የይለፍ ቃሎችን ለማጥመድ (እንደ ሊቢክስክሪፕት ካሉ ውጫዊ ቤተ-ፍርግሞች ጋር መገናኘትን የሚፈቅድ) ቤተኛ ድጋፍን አስወግዷል።
- ssh፣ sshd፣ ssh-add እና ssh-ወኪል ወደ ssh-ወኪል የተጨመሩ ቁልፎችን ማስተላለፍ እና መጠቀምን ለመገደብ ንዑስ ስርዓትን ይተገብራሉ። ንዑስ ስርዓቱ በ ssh-agent ውስጥ ቁልፎችን እንዴት እና የት መጠቀም እንደሚቻል የሚወስኑ ደንቦችን እንዲያዘጋጁ ይፈቅድልዎታል። ለምሳሌ ከአስተናጋጁ scylla.example.org፣ ተጠቃሚው ወደ አስተናጋጁ cetus.example.org፣ እና የተጠቃሚው medea ወደ አስተናጋጁ charybdis.example.org የሚያገናኘውን ተጠቃሚ ለማረጋገጥ ብቻ የሚያገለግል ቁልፍ ለማከል። በመካከለኛው አስተናጋጅ scylla.example.org አቅጣጫ በማዞር የሚከተለውን ትዕዛዝ መጠቀም ይችላሉ፡$ ssh-add -h"[ኢሜል የተጠበቀ]" \ -h "scylla.example.org" \ -h "scylla.example.org>[ኢሜል የተጠበቀ]\ ~/.ssh/id_ed25519
- በ ssh እና sshd ውስጥ፣ ድብልቅ ስልተ ቀመር በነባሪ ወደ KexAlgorithms ዝርዝር ተጨምሯል፣ ይህም የቁልፍ ልውውጥ ዘዴዎች የሚመረጡበትን ቅደም ተከተል ይወስናል።[ኢሜል የተጠበቀ]"(ECDH/x25519 + NTRU Prime)፣ በኳንተም ኮምፒውተሮች ላይ ምርጫን የሚቋቋም። በOpenSSH 8.9፣ ይህ የመደራደር ዘዴ በECDH እና DH ዘዴዎች መካከል ተጨምሯል፣ነገር ግን በሚቀጥለው ልቀት በነባሪነት እንዲነቃ ታቅዷል።
- ssh-keygen፣ ssh እና ssh-ኤጀንት የባዮሜትሪክ ማረጋገጫ ቁልፎችን ጨምሮ ለመሣሪያ ማረጋገጫ የሚያገለግሉ የFIDO ማስመሰያ ቁልፎች አያያዝን አሻሽለዋል።
- በተፈቀደው የስም ዝርዝር ፋይል ውስጥ የተጠቃሚ ስሞችን ለመፈተሽ የ "ssh-keygen -Y match-principals" ትዕዛዝ ወደ ssh-keygen ታክሏል።
- ssh-add እና ssh-agent በፒን ኮድ የተጠበቁ የ FIDO ቁልፎችን ወደ ssh-ኤጀንት የመጨመር ችሎታ ይሰጣሉ (የፒን ጥያቄው በማረጋገጫ ጊዜ ይታያል)።
- ssh-keygen በፊርማ ማመንጨት ወቅት የሃሺንግ ስልተ ቀመር (sha512 ወይም sha256) እንዲመርጥ ይፈቅዳል።
- በssh እና sshd ውስጥ፣ አፈፃፀሙን ለማሻሻል፣ የአውታረ መረብ ውሂብ በቀጥታ ወደ መጪ ፓኬቶች ቋት ውስጥ ይነበባል፣ ይህም ቁልል ላይ ያለውን መካከለኛ ማቋት በማለፍ። የተቀበለውን ውሂብ በቀጥታ ወደ ሰርጥ ቋት ማስቀመጥ በተመሳሳይ መንገድ ነው የሚተገበረው።
- በssh የPubkey የማረጋገጫ መመሪያ የሚደገፉትን መለኪያዎች ዝርዝር (አዎ|አይ|የማይታሰረ|አስተናጋጅ-ታንድ) ዘርግቶ ጥቅም ላይ የሚውለውን የፕሮቶኮል ማራዘሚያ ምርጫ የመምረጥ ችሎታን ይሰጣል።
ወደፊት በሚለቀቅበት ጊዜ፣ ከ SCP/RCP ፕሮቶኮል ይልቅ SFTP ለመጠቀም የ sp utility ነባሪ ለመቀየር አቅደናል። SFTP የበለጠ ሊገመቱ የሚችሉ የስም አያያዝ ዘዴዎችን ይጠቀማል እና በሌላኛው አስተናጋጅ በኩል ባለው የፋይል ስሞች ውስጥ የግሎብ ቅጦችን የሼል ሂደትን አይጠቀምም ይህም የደህንነት ችግሮችን ይፈጥራል። በተለይም SCP እና RCP ሲጠቀሙ አገልጋዩ የትኞቹን ፋይሎች እና ማውጫዎች ለደንበኛው እንደሚልክ ይወስናል, እና ደንበኛው የተመለሱትን እቃዎች ስሞች ትክክለኛነት ብቻ ያረጋግጣል, ይህም በደንበኛው በኩል ትክክለኛ ቼኮች በሌሉበት ጊዜ, አገልጋይ ከተጠየቁት የሚለያዩ ሌሎች የፋይል ስሞችን ለማስተላለፍ። የ SFTP ፕሮቶኮል እነዚህ ችግሮች የሉትም, ነገር ግን እንደ "~ /" ያሉ ልዩ መንገዶችን ማስፋፋትን አይደግፍም. ይህንን ልዩነት ለመፍታት፣ የቀደመው የOpenSSH ልቀት አዲስ የ SFTP ፕሮቶኮል ቅጥያ ወደ ~/ እና ~ተጠቃሚ/ መንገዶች በSFTP አገልጋይ ትግበራ አስተዋውቋል።
ምንጭ: opennet.ru