Pagkahuman sa unom ka bulan nga pag-uswag, ang pagpagawas sa OpenSSH 8.9, usa ka bukas nga pagpatuman sa usa ka kliyente ug server alang sa pagtrabaho sa mga protocol sa SSH 2.0 ug SFTP, gipresentar. Ang bag-ong bersyon sa sshd nag-ayo sa usa ka pagkahuyang nga mahimo’g tugutan ang dili tinuud nga pag-access. Ang isyu kay tungod sa integer overflow sa authentication code, pero pwede ra mapahimuslan inubanan sa ubang logical errors sa code.
Sa karon nga porma niini, ang pagkahuyang dili mapahimuslan kung ang mode sa pagbulag sa pribilehiyo gipalihok, tungod kay ang pagpakita niini gibabagan sa lainlaing mga tseke nga gihimo sa code sa pagsubay sa pagbulag sa pribilehiyo. Ang privilege separation mode gi-enable pinaagi sa default sukad sa 2002 sukad sa OpenSSH 3.2.2, ug gimando sukad sa pagpagawas sa OpenSSH 7.5 nga gipatik sa 2017. Dugang pa, sa madaladala nga mga bersyon sa OpenSSH sugod sa pagpagawas sa 6.5 (2014), ang kahuyang gibabagan pinaagi sa paghugpong uban sa paglakip sa integer overflow nga mga bandila sa proteksyon.
Uban pang mga pagbag-o:
- Ang madaladala nga bersyon sa OpenSSH sa sshd nagtangtang sa lumad nga suporta alang sa hashing nga mga password gamit ang MD5 algorithm (nagtugot sa pag-link sa mga eksternal nga librarya sama sa libxcrypt nga mobalik).
- Ang ssh, sshd, ssh-add, ug ssh-agent nag-implementar og subsystem aron higpitan ang pagpasa ug paggamit sa mga yawe nga gidugang sa ssh-agent. Gitugotan ka sa subsystem nga magbutang mga lagda nga nagtino kung giunsa ug asa magamit ang mga yawe sa ssh-agent. Pananglitan, aron makadugang ug yawe nga magamit lang sa pag-authenticate sa bisan kinsang user nga nagkonektar sa host scylla.example.org, ang user perseus sa host cetus.example.org, ug ang user medea sa host charybdis.example.org uban ang redirection pinaagi sa intermediate host scylla.example.org, mahimo nimong gamiton ang mosunod nga sugo: $ ssh-add -h "[protektado sa email]» \ -h «scylla.example.org» \ -h «scylla.example.org>[protektado sa email]» \ ~/.ssh/id_ed25519
- Sa ssh ug sshd, usa ka hybrid nga algorithm ang gidugang pinaagi sa default sa lista sa KexAlgorithms, nga nagtino sa han-ay kung diin gipili ang panguna nga mga pamaagi sa pagbinayloay.[protektado sa email]"(ECDH/x25519 + NTRU Prime), resistant sa pagpili sa quantum computers. Sa OpenSSH 8.9, kini nga pamaagi sa negosasyon gidugang tali sa mga pamaagi sa ECDH ug DH, apan kini giplano nga mahimo pinaagi sa default sa sunod nga pagpagawas.
- Ang ssh-keygen, ssh, ug ssh-agent mipauswag sa pagdumala sa FIDO token keys nga gigamit alang sa pag-verify sa device, lakip ang mga yawe alang sa biometric authentication.
- Gidugang ang "ssh-keygen -Y match-principals" nga mando sa ssh-keygen aron masusi ang mga username sa gitugotan nga ngalan sa file.
- Ang ssh-add ug ssh-agent naghatag og abilidad sa pagdugang sa FIDO keys nga giprotektahan sa usa ka PIN code ngadto sa ssh-agent (ang hangyo sa PIN gipakita sa panahon sa authentication).
- Gitugotan sa ssh-keygen ang pagpili sa algorithm sa hashing (sha512 o sha256) sa panahon sa paghimo sa pirma.
- Sa ssh ug sshd, aron mapauswag ang pasundayag, ang data sa network gibasa direkta sa buffer sa umaabot nga mga packet, nga nag-bypass sa intermediate buffering sa stack. Ang direkta nga pagbutang sa nadawat nga datos sa usa ka channel buffer gipatuman sa parehas nga paagi.
- Sa ssh, ang direktiba sa PubkeyAuthentication nagpalapad sa lista sa gisuportahan nga mga parametro (oo | dili | wala'y utlanan | host-bound) aron mahatagan ang katakus sa pagpili sa extension sa protocol nga gamiton.
Sa umaabot nga pagpagawas, nagplano kami nga usbon ang default sa scp utility aron magamit ang SFTP imbes sa legacy nga SCP/RCP protocol. Ang SFTP naggamit ug mas matag-an nga paagi sa pagdumala sa ngalan ug wala mogamit sa shell processing sa glob patterns sa mga file name sa pikas nga host, nga nagmugna og mga problema sa seguridad. Sa partikular, kung gigamit ang SCP ug RCP, ang server nagdesisyon kung unsang mga file ug direktoryo ang ipadala sa kliyente, ug gisusi lamang sa kliyente ang katukma sa gibalik nga mga ngalan sa butang, nga, kung wala’y husto nga pagsusi sa bahin sa kliyente, gitugotan ang server aron ibalhin ang ubang mga ngalan sa file nga lahi sa gihangyo. Ang SFTP protocol wala niini nga mga problema, apan wala nagsuporta sa pagpalapad sa espesyal nga mga agianan sama sa "~/". Aron matubag kini nga kalainan, usa ka bag-ong extension sa SFTP protocol ang gisugyot sa miaging pagpagawas sa OpenSSH sa pagpatuman sa SFTP server aron mapalapad ang ~ / ug ~ user / mga agianan.
Source: opennet.ru