የSSH 9.2 እና SFTP ፕሮቶኮሎችን ለመጠቀም የደንበኛ እና አገልጋይ ክፍት ትግበራ የሆነው OpenSSH 2.0 ታትሟል። አዲሱ ስሪት በቅድመ-ማረጋገጫ ደረጃ ላይ ወደ ድርብ ነፃ የማስታወስ ችሎታ የሚያመራውን ተጋላጭነትን ያስወግዳል። የOpenSSH 9.1 ልቀት ብቻ ነው የተጎዳው፤ ችግሩ በቀደሙት ስሪቶች ላይ አይታይም።
የተጋላጭነት መገለጫ ሁኔታዎችን ለመፍጠር የኤስኤስኤች ደንበኛ ባነር ወደ “SSH-2.0-FuTTYSH_9.1p1” በመቀየር በኤስኤስኤች ስሪት ላይ የሚወሰኑትን “SSH_BUG_CURVE25519PAD” እና “SSH_OLD_DHGEX” ባንዲራዎች ለማዘጋጀት በቂ ነው። ደንበኛ. እነዚህን ባንዲራዎች ካዘጋጁ በኋላ የ"options.kex_algorithms" ቋት ማህደረ ትውስታ ሁለት ጊዜ ይለቀቃል - የ do_ssh2_kex () ተግባርን ሲፈጽም compat_kex_proposal () ብሎ የሚጠራው እና የ do_authentication2 () ተግባርን ሲፈጽም, ግቤት_userauth_request (), mm_getpwn በሰንሰለቱ ላይ የቅጂ_አዘጋጅ_የአገልጋይ_አማራጮች()፣ ስልተ-ቀመሮች () እና የ kex_assemble_ስሞች() ይሰበስባሉ።
የብዝበዛ ሂደቱ በጣም የተወሳሰበ ስለሆነ ለተጋላጭነት የሚሰራ ብዝበዛ መፍጠር የማይመስል ነገር ነው ተብሎ ይታሰባል - ዘመናዊ የማህደረ ትውስታ ድልድል ቤተ-መጻሕፍት የማስታወስ ችሎታን ከእጥፍ ነፃ ከማድረግ ይከላከላሉ ፣ እና ስህተቱ ያለበት የቅድመ-ማረጋገጫ ሂደት በገለልተኛ ክፍል ውስጥ ልዩ መብቶችን በመቀነስ ይሰራል። ማጠሪያ አካባቢ.
ከተጠቀሰው ተጋላጭነት በተጨማሪ አዲሱ ልቀት ሁለት ተጨማሪ የደህንነት ችግሮችን ያስተካክላል፡-
- የ"PermitRemoteOpen" መቼት ሲሰራ ስህተት ተከስቷል፣ ይህም የመጀመሪያው ነጋሪ እሴት ከ"ማንኛውም" እና "ምንም" የሚለይ ከሆነ ችላ እንዲባል አድርጓል። ችግሩ ከOpenSSH 8.7 ባወጡት ስሪቶች ውስጥ ይታያል እና አንድ ፍቃድ ብቻ ሲገለጽ ቼኩ እንዲዘለል ያደርጋል።
- ስሞችን ለመፍታት ጥቅም ላይ የሚውለውን የዲ ኤን ኤስ አገልጋይ የሚቆጣጠር አጥቂ የ CanonicalizeHostname እና CanonicalizePermittedCNAMEs አማራጮች ከነቃ እና የስርዓት ፈላጊው የስርዓተ ክወናውን ትክክለኛነት ካላጣራ ልዩ ቁምፊዎችን (ለምሳሌ “*") በሚታወቁ_አስተናጋጅ ፋይሎች ውስጥ ሊተካ ይችላል። ከዲ ኤን ኤስ አገልጋይ ምላሾች። ጥቃቱ የማይቻል ነው ተብሎ ይታሰባል ምክንያቱም የተመለሱት ስሞች በካኖኒካል የተፈቀደCNAMEs ከተገለጹት ሁኔታዎች ጋር መዛመድ አለባቸው።
ሌሎች ለውጦች፡-
- የትእዛዝ መስመሩን የሚያቀርበው የ"~C" የማምለጫ ቅደም ተከተል ከደንበኛ-ጎን ሂደት መስራቱን ለመቆጣጠር የEscapeCommandline ቅንብር ወደ ssh_config ለ ssh ተጨምሯል። በነባሪ፣ የ"~C" አያያዝ አሁን ጠንከር ያለ የአሸዋ ሳጥን መነጠልን ለመጠቀም ተሰናክሏል፣ ይህም በሂደት ጊዜ "~ C"ን ወደብ ለማስተላለፍ ሊሰበሩ የሚችሉ ስርዓቶችን መጠቀም ነው።
- የሰርጡ እንቅስቃሴ-አልባነት ጊዜ ማብቂያ ጊዜን ለማዘጋጀት የ ChannelTimeout መመሪያ ወደ sshd_config ለ sshd ተጨምሯል (በመመሪያው ውስጥ ለተጠቀሰው ጊዜ ምንም ትራፊክ ያልተመዘገበባቸው ቻናሎች በራስ-ሰር ይዘጋሉ)። ለክፍለ-ጊዜ፣ ለX11፣ ለወኪል እና ለትራፊክ አቅጣጫ የተለያዩ የጊዜ ማብቂያዎች ሊዘጋጁ ይችላሉ።
- የUnusedConnectionTimeout መመሪያ ወደ sshd_config ለsshd ተጨምሯል፣ይህም ለተወሰነ ጊዜ ያለ ንቁ ቻናሎች የቆዩ የደንበኛ ግንኙነቶችን ለማቋረጥ ጊዜ እንዲያዘጋጁ ያስችልዎታል።
- በ ssh ደንበኛ ውስጥ ካለው ተመሳሳይ አማራጭ ጋር ተመሳሳይ የሆነውን ስሪቱን ለማሳየት የ "-V" አማራጭ ወደ sshd ተጨምሯል.
- የአስተናጋጁ ስም ነጋሪ እሴትን በማንፀባረቅ "አስተናጋጅ" የሚለውን መስመር ወደ "ssh -G" ውፅዓት ታክሏል።
- እንደ የቅጂ ቋት መጠን እና በመጠባበቅ ላይ ያሉ የጥያቄዎች ብዛት ያሉ የ SFTP ፕሮቶኮል መለኪያዎችን ለመቆጣጠር የ"-X" አማራጭ ወደ scp እና sftp ተጨምሯል።
- ssh-keyscan ሙሉ የCIDR አድራሻ ክልሎችን ለመቃኘት ያስችላል፣ ለምሳሌ "ssh-keyscan 192.168.0.0/24"።
ምንጭ: opennet.ru