OpenSSH 10.3 রিলিজ

ছয় মাস ধরে উন্নয়নের পর, ক্লায়েন্টটির একটি ওপেন সোর্স সংস্করণ, ওপেনএসএসএইচ ১০.৩, প্রকাশ করা হয়েছে। সার্ভার SSH 2.0 এবং SFTP প্রোটোকলের সাথে ব্যবহারের জন্য। প্রধান পরিবর্তনসমূহ:

• এমন একটি দুর্বলতা সমাধান করা হয়েছে, যার ফলে ssh ইউটিলিটি চালু করার সময় ব্যবহৃত ইউজারনেমের ওপর নিয়ন্ত্রণ থাকা কোনো আক্রমণকারী যথেচ্ছ শেল কমান্ড চালাতে পারতো। এই দুর্বলতাটি সেইসব সিস্টেমে দেখা যায়, যেগুলো "Match exec"-এর মতো নির্দিষ্ট কনফিগারেশন ফাইল নির্দেশিকায় "%u" প্রতিস্থাপন ব্যবহার করে। ssh_config কনফিগারেশন ফাইলে %-প্রতিস্থাপন করার পর ইউজারনেমে থাকা বিশেষ অক্ষরগুলোর যাচাইকরণের কারণে এই সমস্যাটি সৃষ্টি হয়।
• সার্টিফিকেটে থাকা নামগুলোর (প্রিন্সিপাল) তালিকায় কমা (,) থাকলে authorized_keys principals="" অপশনের সাথে নামের ভুল মিলের কারণে sshd-তে সৃষ্ট একটি নিরাপত্তা ত্রুটি সমাধান করা হয়েছে। এই দুর্বলতার সুযোগ নিতে হলে authorized_keys principals="" অপশনে একাধিক নাম উল্লেখ করতে হবে এবং CA-কে কমা দিয়ে আলাদা করা একাধিক নামসহ একটি সার্টিফিকেট ইস্যু করতে হবে (যা সাধারণত অনুমোদিত নয়)। খালি নামের সার্টিফিকেটের ক্ষেত্রে আচরণ পরিবর্তন করা হয়েছে: পূর্বে, একটি খালি নাম সমস্ত authorized_keys principals="" অপশনের আওতায় ছিল, কিন্তু এখন এটি আওতাভুক্ত নয়।
• scp-তে একটি সমস্যার সমাধান করা হয়েছে, যেখানে রুট হিসেবে -O অপশন ব্যবহার করে এবং -p অপশন ছাড়া ফাইল আপলোড করলে setuid/setgid ফ্ল্যাগগুলো মুছে যেত না।
• sshd-তে, PubkeyAcceptedAlgorithms এবং HostbasedAcceptedAlgorithms ডিরেক্টিভগুলিতে ECDSA কী পরিচালনার একটি সমস্যা সমাধান করা হয়েছে। এর ফলে, যদি কোনো ECDSA অ্যালগরিদম নির্দিষ্ট করা থাকত (উদাহরণস্বরূপ, "ecdsa-sha2-nistp384"), তাহলে অন্যান্য সমস্ত ECDSA-ভিত্তিক অ্যালগরিদমও গৃহীত হতো, এমনকি যদি সেগুলোকে স্পষ্টভাবে গ্রহণযোগ্য হিসেবে তালিকাভুক্ত করা না-ও থাকত।
• SSH এজেন্টের সাথে যোগাযোগের ক্ষেত্রে, ssh এবং sshd এখন IANA কর্তৃক draft-ietf-sshm-ssh-agent স্পেসিফিকেশনে সংজ্ঞায়িত আইডেন্টিফায়ারগুলো (কোডপয়েন্ট) সমর্থন করে। পূর্বে ব্যবহৃত "@openssh.com"-এর মতো আইডেন্টিফায়ারগুলোর সমর্থনও বহাল রাখা হয়েছে।
• ssh-agent, draft-ietf-sshm-ssh-agent স্পেসিফিকেশনে সংজ্ঞায়িত 'query' এক্সটেনশনটি প্রয়োগ করে, যা এজেন্টের সমর্থিত বৈশিষ্ট্যগুলো নির্ধারণ করতে সাহায্য করে। সমর্থিত প্রোটোকল এক্সটেনশনগুলোর তালিকা জানতে ssh-add ইউটিলিটিতে "-Q" অপশনটি যোগ করা হয়েছে।
• sshd_config-এ RevokedKeys ডিরেক্টিভে একাধিক ফাইল নির্দিষ্ট করা যায় এবং ssh_config-এ RevokedHostKeys ডিরেক্টিভে একাধিক ফাইল নির্দিষ্ট করা যায়।
• SSH-এ এখন একটি এস্কেপ কমান্ড "~I" এবং বর্তমান সংযোগের তথ্য দেখানোর জন্য একটি অপশন "-O conninfo" রয়েছে, সেইসাথে খোলা চ্যানেলগুলোর তথ্য দেখানোর জন্য একটি অপশন "-O channels"ও আছে।
• sshd-তে, PerSourcePenalties ডিরেক্টিভে এখন 'invaliduser' অপশনটি অন্তর্ভুক্ত করা হয়েছে, যা অস্তিত্বহীন কোনো ব্যবহারকারী দিয়ে লগ ইন করার চেষ্টার সময় একটি বিলম্ব (ডিফল্ট ৫ সেকেন্ড) যোগ করে। অ-পূর্ণসংখ্যার বিলম্ব মান নির্দিষ্ট করার সুবিধাও যোগ করা হয়েছে।
• ক্লায়েন্ট কর্তৃক প্রদত্ত ডেলিগেটেড ক্রেডেনশিয়ালের গ্রহণযোগ্যতা নিয়ন্ত্রণ করার জন্য sshd-তে GSSAPIDelegateCredentials অপশনটি যুক্ত করা হয়েছে।
• ssh-keygen এখন PKCS8 ফরম্যাটে ED25519 কী লেখার সুবিধা দেয়।
• libcrypto-এর মাধ্যমে বাস্তবায়িত ed25519 ডিজিটাল স্বাক্ষর স্কিমের জন্য সমর্থন যোগ করা হয়েছে।

উত্স: opennet.ru