Pagkahuman sa unom ka bulan nga pag-uswag, ang pagpagawas sa OpenSSH 8.9, usa ka bukas nga pagpatuman sa usa ka kliyente ug server alang sa pagtrabaho sa mga protocol sa SSH 2.0 ug SFTP, gipresentar. Ang bag-ong bersyon sa sshd nag-ayo sa usa ka pagkahuyang nga mahimo’g tugutan ang dili tinuud nga pag-access. Ang isyu kay tungod sa integer overflow sa authentication code, pero pwede ra mapahimuslan inubanan sa ubang logical errors sa code.
Sa karon nga porma niini, ang pagkahuyang dili mapahimuslan kung ang mode sa pagbulag sa pribilehiyo gipalihok, tungod kay ang pagpakita niini gibabagan sa lainlaing mga tseke nga gihimo sa code sa pagsubay sa pagbulag sa pribilehiyo. Ang privilege separation mode gi-enable pinaagi sa default sukad sa 2002 sukad sa OpenSSH 3.2.2, ug gimando sukad sa pagpagawas sa OpenSSH 7.5 nga gipatik sa 2017. Dugang pa, sa madaladala nga mga bersyon sa OpenSSH sugod sa pagpagawas sa 6.5 (2014), ang kahuyang gibabagan pinaagi sa paghugpong uban sa paglakip sa integer overflow nga mga bandila sa proteksyon.
Uban pang mga pagbag-o:
- Ang madaladala nga bersyon sa OpenSSH sa sshd nagtangtang sa lumad nga suporta alang sa hashing nga mga password gamit ang MD5 algorithm (nagtugot sa pag-link sa mga eksternal nga librarya sama sa libxcrypt nga mobalik).
- Ang ssh, sshd, ssh-add ug ssh-agent nagpatuman sa usa ka subsystem para sa pagpugong sa pagpasa ug paggamit sa mga yawe nga gidugang sa ssh-agent. Gitugotan ka sa subsystem nga magbutang mga lagda nga nagtino kung giunsa ug asa magamit ang mga yawe sa ssh-agent. Pananglitan, aron makadugang ug yawe nga magamit lamang sa pag-authenticate kung adunay bisan kinsang user nga magkonektar sa host scylla.example.org, ang user perseus ngadto sa host cetus.example.org, ug ang user medea ngadto sa host charybdis.example.org uban sa redirection pinaagi sa intermediate host scylla.example.org, mahimo nimong gamiton ang mosunod nga sugo: $ssh: "perseus@cetus.example.org" \ -h "scylla.example.org" \ -h "scylla.example.org>medea@charybdis.example.org" \ ~/.ssh/id_ed25519
- Sa ssh ug sshd, ang hybrid nga algorithm nga "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime), makasugakod sa brute force sa quantum computers, gidugang pinaagi sa default sa listahan sa KexAlgorithms, nga nagtino sa han-ay sa pagpili sa mga importanteng pamaagi sa pagbayloay. Gidugang sa OpenSSH 8.9 kini nga pamaagi sa negosasyon tali sa ECDH ug DH, apan kini giplano nga mahimong default sa sunod nga pagpagawas.
- Ang ssh-keygen, ssh, ug ssh-agent mipauswag sa pagdumala sa FIDO token keys nga gigamit alang sa pag-verify sa device, lakip ang mga yawe alang sa biometric authentication.
- Gidugang ang "ssh-keygen -Y match-principals" nga mando sa ssh-keygen aron masusi ang mga username sa gitugotan nga ngalan sa file.
- Ang ssh-add ug ssh-agent naghatag og abilidad sa pagdugang sa FIDO keys nga giprotektahan sa usa ka PIN code ngadto sa ssh-agent (ang hangyo sa PIN gipakita sa panahon sa authentication).
- Gitugotan sa ssh-keygen ang pagpili sa algorithm sa hashing (sha512 o sha256) sa panahon sa paghimo sa pirma.
- Sa ssh ug sshd, aron mapauswag ang pasundayag, ang data sa network gibasa direkta sa buffer sa umaabot nga mga packet, nga nag-bypass sa intermediate buffering sa stack. Ang direkta nga pagbutang sa nadawat nga datos sa usa ka channel buffer gipatuman sa parehas nga paagi.
- Sa ssh, ang direktiba sa PubkeyAuthentication nagpalapad sa lista sa gisuportahan nga mga parametro (oo | dili | wala'y utlanan | host-bound) aron mahatagan ang katakus sa pagpili sa extension sa protocol nga gamiton.
Sa umaabot nga pagpagawas, ang scp utility giplano nga mobalhin ngadto sa SFTP isip default, nga mopuli sa legacy SCP/RCP protocol. Ang SFTP mogamit ug mas matag-an nga mga pamaagi sa pagdumala sa ngalan ug molikay sa pagdumala sa mga glob pattern sa mga ngalan sa file nga daling maapektuhan sa seguridad pinaagi sa shell sa pikas host. Ilabi na, kung mogamit ug SCP ug RCP, ang server ang modesisyon kung unsang mga file ug direktoryo ang ipadala sa kliyente, samtang ang kliyente mosusi lamang sa mga gibalik nga ngalan sa butang alang sa katukma. Gitugotan niini ang mga paglapas sa seguridad kung ang husto nga mga pagsusi wala gihimo sa kilid sa kliyente. server Pagbalhin sa mga ngalan sa file gawas sa gihangyo. Ang SFTP protocol walay ingon niini nga mga problema, apan wala kini nagsuporta sa pagpalapad sa mga espesyal nga agianan sama sa "~/." Aron masulbad kini nga kalainan, usa ka bag-ong extension sa SFTP protocol alang sa pagpalapad sa ~/ ug ~user/ nga mga agianan ang gisugyot sa miaging OpenSSH release sa implementasyon sa SFTP server.
Source: opennet.ru
