Human sa tulo ka bulan sa kalamboan buhian , usa ka bukas nga kliyente ug pagpatuman sa server alang sa pagtrabaho pinaagi sa SSH 2.0 ug SFTP protocols.
Ang bag-ong pagpagawas nagdugang proteksyon batok sa mga pag-atake sa scp nga nagtugot sa server sa pagpasa sa ubang mga filename kaysa sa gihangyo (sukwahi sa , ang pag-atake dili magpaposible sa pag-usab sa pinili nga direktoryo o glob mask). Hinumdumi nga sa SCP, ang server nagdesisyon kung unsang mga file ug direktoryo ang ipadala sa kliyente, ug gisusi lamang sa kliyente ang katukma sa gibalik nga mga ngalan sa butang. Ang esensya sa nahibal-an nga problema mao nga kung mapakyas ang tawag sa sistema sa utimes, nan ang sulud sa file gihubad ingon metadata sa file.
Kini nga bahin, kung magkonektar sa usa ka server nga kontrolado sa usa ka tig-atake, mahimong magamit sa pagtipig sa ubang mga ngalan sa file ug uban pang sulud sa FS sa gumagamit kung nagkopya gamit ang scp sa mga pag-configure nga mosangput sa kapakyasan sa pagtawag sa mga utimes (pananglitan, kung ang mga utimes gidili sa ang polisiya sa SELinux o filter sa tawag sa sistema). Ang kalagmitan sa tinuod nga mga pag-atake gibanabana nga gamay ra, tungod kay sa kasagaran nga mga pag-configure ang utimes nga tawag dili mapakyas. Dugang pa, ang pag-atake dili mamatikdan - kung nagtawag sa scp, gipakita ang usa ka sayup sa pagbalhin sa data.
Kinatibuk-ang mga pagbag-o:
- Sa sftp, ang pagproseso sa "-1" nga argumento gipahunong, susama sa ssh ug scp, nga kaniadto gidawat apan wala gibalewala;
- Sa sshd, kung gamiton ang IgnoreRhosts, aduna nay tulo ka mga kapilian: "oo" - ibaliwala rhosts/shosts, "dili" - pagtahod rhosts/shosts, ug "shosts-only" - pagtugot ".shosts" apan dili pagtugot ".rhosts";
- Gisuportahan na karon sa Ssh ang %TOKEN nga pag-ilis sa mga setting sa LocalFoward ug RemoteForward nga gigamit sa pag-redirect sa mga socket sa Unix;
- Tugoti ang pagkarga sa mga pampublikong yawe gikan sa usa ka wala ma-encrypt nga file nga adunay usa ka pribado nga yawe kung walaβy lahi nga file nga adunay yawe sa publiko;
- Kung ang libcrypto anaa sa sistema, ang ssh ug sshd karon naggamit sa pagpatuman sa chacha20 algorithm gikan niini nga librarya, imbes sa built-in nga portable nga pagpatuman, nga naulahi sa performance;
- Gipatuman ang abilidad sa paglabay sa mga sulod sa usa ka binary nga listahan sa gibawi nga mga sertipiko sa dihang nagpatuman sa sugo nga "ssh-keygen -lQf /path";
- Ang madaladala nga bersyon nagpatuman sa mga kahulugan sa mga sistema diin ang mga signal nga adunay SA_RESTART nga opsyon makabalda sa operasyon sa pinili;
- Nasulbad ang mga problema sa asembliya sa mga sistema sa HP/UX ug AIX;
- Pag-ayo sa mga problema sa pagtukod sa seccom sandbox sa pipila ka mga configuration sa Linux;
- Gipauswag ang libfido2 library detection ug nasulbad ang mga isyu sa pagtukod gamit ang "--with-security-key-builtin" nga kapilian.
Ang mga developer sa OpenSSH usab sa makausa pa nagpasidaan bahin sa umaabot nga pagkadunot sa mga algorithm gamit ang SHA-1 hash tungod sa ang pagka-epektibo sa mga pag-atake sa pagbangga nga adunay gihatag nga prefix (ang gasto sa pagpili sa usa ka bangga gibanabana nga gibana-bana nga 45 ka libo nga dolyar). Sa usa sa mga umaabot nga pagpagawas, sila nagplano sa pag-disable pinaagi sa default ang abilidad sa paggamit sa public key digital signature algorithm "ssh-rsa", nga gihisgutan sa orihinal nga RFC alang sa SSH protocol ug nagpabilin nga kaylap sa praktis (sa pagsulay sa paggamit sa ssh-rsa sa imong mga sistema, mahimo nimong sulayan ang pagkonektar pinaagi sa ssh nga adunay kapilian nga "-oHostKeyAlgorithm=-ssh-rsa").
Aron mapahapsay ang transisyon ngadto sa bag-ong mga algorithm sa OpenSSH, sa umaabot nga pagpagawas ang UpdateHostKeys setting ma-enable pinaagi sa default, nga awtomatikong mobalhin sa mga kliyente ngadto sa mas kasaligan nga mga algorithm. Ang girekomendar nga mga algorithm alang sa paglalin naglakip sa rsa-sha2-256/512 base sa RFC8332 RSA SHA-2 (gisuportahan sukad sa OpenSSH 7.2 ug gigamit sa default), ssh-ed25519 (gisuportahan sukad sa OpenSSH 6.5) ug ecdsa-sha2-nistp256/384/521 base sa RFC5656 ECDSA (gisuportahan sukad sa OpenSSH 5.7).
Sa katapusan nga pagpagawas, ang "ssh-rsa" ug "diffie-hellman-group14-sha1" gikuha gikan sa lista sa CASignatureAlgorithms nga naghubit sa mga algorithm nga gitugotan sa digital nga pagpirma sa bag-ong mga sertipiko, tungod kay ang paggamit sa SHA-1 sa mga sertipiko adunay dugang nga peligro. tungod niana ang tig-atake adunay walay kinutuban nga panahon sa pagpangita alang sa usa ka bangga alang sa usa ka kasamtangan nga sertipiko, samtang ang panahon sa pag-atake sa mga yawe sa host limitado sa koneksyon sa timeout (LoginGraceTime).
Source: opennet.ru