Human sa unom ka bulan sa kalamboan buhian , usa ka bukas nga kliyente ug pagpatuman sa server alang sa pagtrabaho pinaagi sa SSH 2.0 ug SFTP protocols.
Espesyal nga atensyon sa bag-ong pagpagawas mao ang pagwagtang sa usa ka kahuyang nga nakaapekto sa ssh, sshd, ssh-add ug ssh-keygen. Ang problema anaa sa code alang sa pag-parse sa mga pribadong yawe nga adunay XMSS nga matang ug nagtugot sa usa ka tig-atake sa pag-trigger sa usa ka integer overflow. Ang pagkahuyang gimarkahan nga mapahimuslan, apan gamay ra nga gamit, tungod kay ang suporta alang sa mga yawe sa XMSS usa ka eksperimento nga bahin nga gibabagan sa default (ang madaladala nga bersyon wala bisan usa ka kapilian sa pagtukod sa autoconf aron mahimo ang XMSS).
Panguna nga mga pagbag-o:
- Sa ssh, sshd ug ssh-agent code nga nagpugong sa pagbawi sa usa ka pribadong yawe nga nahimutang sa RAM isip resulta sa mga pag-atake sa kilid nga channel, sama sa , ΠΈ . Ang pribado nga mga yawe karon gi-encrypt kung gikarga sa memorya ug gi-decrypt lang kung gigamit, nagpabilin nga naka-encrypt sa nahabilin nga oras. Uban niini nga pamaagi, aron malampuson nga mabawi ang pribado nga yawe, ang tig-atake kinahanglan una nga mabawi ang usa ka random nga nahimo nga intermediate nga yawe nga 16 KB ang gidak-on, gigamit aron ma-encrypt ang panguna nga yawe, nga dili mahimo nga mahatagan ang rate sa sayup sa pagbawi nga kasagaran sa mga modernong pag-atake;
- Π Gidugang ang eksperimento nga suporta alang sa usa ka gipasimple nga laraw alang sa paghimo ug pag-verify sa mga digital nga pirma. Ang mga digital nga pirma mahimong mabuhat gamit ang regular nga mga yawe sa SSH nga gitipigan sa disk o sa ssh-agent, ug gipamatud-an gamit ang usa ka butang nga susama sa authorized_keys . Ang impormasyon sa namespace gitukod sa digital nga pirma aron malikayan ang kalibog kon gamiton sa lain-laing mga lugar (pananglitan, alang sa email ug mga file);
- Ang ssh-keygen gibalhin pinaagi sa default aron magamit ang rsa-sha2-512 algorithm kung gi-validate ang mga sertipiko nga adunay digital nga pirma nga gibase sa usa ka RSA key (kung nagtrabaho sa CA mode). Ang ingon nga mga sertipiko dili uyon sa mga pagpagawas sa wala pa ang OpenSSH 7.2 (aron masiguro ang pagkaangay, ang tipo sa algorithm kinahanglan nga ma-overridden, pananglitan pinaagi sa pagtawag sa "ssh-keygen -t ssh-rsa -s ...");
- Sa ssh, ang ProxyCommand nga ekspresyon karon nagsuporta sa pagpalapad sa "%n" nga pagpuli (ang hostname nga gipiho sa address bar);
- Sa mga lista sa mga algorithm sa pag-encrypt alang sa ssh ug sshd, mahimo nimong gamiton ang karakter nga "^" aron isulud ang mga default nga algorithm. Pananglitan, aron idugang ang ssh-ed25519 sa default nga lista, mahimo nimong ipiho ang "HostKeyAlgorithm ^ssh-ed25519";
- Ang ssh-keygen naghatag og output sa usa ka komentaryo nga gilakip sa yawe kung gikuha ang usa ka publiko nga yawe gikan sa usa ka pribado;
- Gidugang ang abilidad sa paggamit sa "-v" nga bandila sa ssh-keygen sa paghimo sa yawe nga mga operasyon sa pagpangita (pananglitan, "ssh-keygen -vF host"), nga nagtino kung unsa ang moresulta sa usa ka visual host signature;
- Gidugang ang abilidad sa paggamit isip alternatibong format sa pagtipig sa pribadong mga yawe sa disk. Ang PEM format padayon nga gigamit sa default, ug ang PKCS8 mahimong mapuslanon sa pagkab-ot sa pagkaangay sa mga third-party nga aplikasyon.
Source: opennet.ru