Ar Γ΄l chwe mis o ddatblygiad, cyflwynwyd rhyddhau OpenSSH 8.9, cleient agored a gweithrediad gweinydd ar gyfer gweithio dros brotocolau SSH 2.0 a SFTP. Mae'r fersiwn newydd o sshd yn trwsio bregusrwydd a allai o bosibl ganiatΓ‘u mynediad heb ei ddilysu. Achosir y mater gan orlif cyfanrif yn y cod dilysu, ond dim ond mewn cyfuniad Γ’ gwallau rhesymegol eraill yn y cod y gellir ei ecsbloetio.
Yn ei ffurf bresennol, ni ellir manteisio ar y bregusrwydd pan fydd y modd gwahanu braint wedi'i alluogi, gan fod ei amlygiad wedi'i rwystro gan wiriadau ar wahΓ’n a gyflawnir yn y cod olrhain gwahanu braint. Mae modd gwahanu braint wedi'i alluogi yn ddiofyn ers 2002 ers OpenSSH 3.2.2, ac mae wedi bod yn orfodol ers rhyddhau OpenSSH 7.5 a gyhoeddwyd yn 2017. Yn ogystal, mewn fersiynau cludadwy o OpenSSH gan ddechrau gyda rhyddhau 6.5 (2014), mae'r bregusrwydd yn cael ei rwystro trwy grynhoi gyda chynnwys fflagiau amddiffyn gorlif cyfanrif.
Newidiadau eraill:
- Mae'r fersiwn cludadwy o OpenSSH yn sshd wedi dileu cefnogaeth frodorol ar gyfer stwnsio cyfrineiriau gan ddefnyddio'r algorithm MD5 (gan ganiatΓ‘u cysylltu Γ’ llyfrgelloedd allanol fel libxcrypt i ddychwelyd).
- Mae ssh, sshd, ssh-add, a ssh-agent yn gweithredu is-system i gyfyngu ar anfon ymlaen a defnyddio allweddi a ychwanegir at ssh-agent. Mae'r is-system yn caniatΓ‘u ichi osod rheolau sy'n pennu sut a ble y gellir defnyddio allweddi yn ssh-agent. Er enghraifft, i ychwanegu allwedd na ellir ond ei defnyddio i ddilysu unrhyw ddefnyddiwr sy'n cysylltu Γ’'r gwesteiwr scylla.example.org, perseus y defnyddiwr i'r gwesteiwr cetus.example.org, a'r meddea defnyddiwr i'r gwesteiwr charybdis.example.org gydag ailgyfeirio trwy westeiwr canolradd scylla.example.org, gallwch ddefnyddio'r gorchymyn canlynol: $ssh-add -h "[e-bost wedi'i warchod]\ -h " scylla.example.org \ -h " scylla.example.org>[e-bost wedi'i warchod]\ ~/.ssh/id_ed25519
- Yn ssh a sshd, mae algorithm hybrid wedi'i ychwanegu'n ddiofyn at y rhestr KexAlgorithms, sy'n pennu'r drefn y dewisir dulliau cyfnewid allweddol.[e-bost wedi'i warchod]"(ECDH/x25519 + NTRU Prime), yn gwrthsefyll dewis ar gyfrifiaduron cwantwm. Yn OpenSSH 8.9, ychwanegwyd y dull negodi hwn rhwng y dulliau ECDH a DH, ond bwriedir ei alluogi yn ddiofyn yn y datganiad nesaf.
- Mae ssh-keygen, ssh, a ssh-agent wedi gwella'r modd yr ymdrinnir ag allweddi tocyn FIDO a ddefnyddir ar gyfer dilysu dyfeisiau, gan gynnwys allweddi ar gyfer dilysu biometrig.
- Ychwanegwyd gorchymyn "ssh-keygen -Y match-principals" i ssh-keygen i wirio enwau defnyddwyr yn y ffeil a ganiateir enwlist.
- Mae ssh-add a ssh-agent yn darparu'r gallu i ychwanegu allweddi FIDO sydd wedi'u diogelu gan god PIN i ssh-agent (mae'r cais PIN yn cael ei arddangos ar adeg y dilysu).
- Mae ssh-keygen yn caniatΓ‘u dewis algorithm stwnsio (sha512 neu sha256) yn ystod cynhyrchu llofnod.
- Mewn ssh a sshd, er mwyn gwella perfformiad, darllenir data rhwydwaith yn uniongyrchol i glustogfa'r pecynnau sy'n dod i mewn, gan osgoi byffro canolradd ar y pentwr. Mae gosod y data a dderbyniwyd yn uniongyrchol mewn byffer sianel yn cael ei weithredu mewn ffordd debyg.
- Yn ssh, mae cyfarwyddeb PubkeyAuthentication wedi ehangu'r rhestr o baramedrau a gefnogir (ie | na | heb eu rhwymo | rhwymiad gwesteiwr) i ddarparu'r gallu i ddewis yr estyniad protocol i'w ddefnyddio.
Mewn datganiad yn y dyfodol, rydym yn bwriadu newid rhagosodiad y cyfleustodau scp i ddefnyddio SFTP yn lle'r protocol SCP/RCP etifeddol. Mae SFTP yn defnyddio dulliau trin enwau mwy rhagweladwy ac nid yw'n defnyddio prosesu cregyn o batrymau glob mewn enwau ffeiliau ar ochr y gwesteiwr arall, sy'n creu problemau diogelwch. Yn benodol, wrth ddefnyddio SCP a RCP, mae'r gweinydd yn penderfynu pa ffeiliau a chyfeiriaduron i'w hanfon at y cleient, ac mae'r cleient yn gwirio cywirdeb enwau'r gwrthrychau a ddychwelwyd yn unig, sydd, yn absenoldeb gwiriadau priodol ar ochr y cleient, yn caniatΓ‘u'r gweinydd i drosglwyddo enwau ffeiliau eraill sy'n wahanol i'r rhai y gofynnwyd amdanynt. Nid oes gan y protocol SFTP y problemau hyn, ond nid yw'n cefnogi ehangu llwybrau arbennig fel β~/β. Er mwyn mynd i'r afael Γ’'r gwahaniaeth hwn, cyflwynodd datganiad blaenorol OpenSSH estyniad protocol SFTP newydd i'r llwybrau ~/ a ~ defnyddiwr/ yng ngweithrediad gweinydd SFTP.
Ffynhonnell: opennet.ru