Hiru hilabeteko garapenaren ostean
Bertsio berriak scp erasoen aurkako babesa gehitzen du, zerbitzariari eskatutakoak ez diren beste fitxategi-izen batzuk pasatzeko aukera ematen diotenak (ezin
Ezaugarri hau, erasotzaile batek kontrolatutako zerbitzari batera konektatzean, beste fitxategi-izen batzuk eta beste eduki batzuk gordetzeko erabil daiteke erabiltzailearen FS-n scp erabiliz kopiatzerakoan utimes deitzean huts egiten duten konfigurazioetan (adibidez, utimes debekatuta dagoenean). SELinux politika edo sistema-deien iragazkia) . Benetako erasoen probabilitatea gutxienekoa dela uste da, ohiko konfigurazioetan utimes deiak ez baitu huts egiten. Gainera, erasoa ez da oharkabean pasatzen - scp deitzean, datu-transferentzia-errore bat agertzen da.
Aldaketa orokorrak:
- sftp-n, "-1" argumentuaren prozesamendua gelditu da, ssh eta scp-en antzera, aurretik onartua baina baztertu egiten zena;
- Sshd-n, IgnoreRhosts erabiltzean, orain hiru aukera daude: "bai" - ez ikusi rhosts/shosts, "ez" - errespetatu rhosts/shosts, eta "shosts-only" - baimendu ".shosts" baina desgaitu ".rhosts";
- Ssh-k %TOKEN ordezkapena onartzen du Unix-en socketak birbideratzeko erabiltzen diren LocalFoward eta RemoteForward ezarpenetan;
- Baimendu gako publikoak gako pribatu batekin zifratu gabeko fitxategi batetik kargatzea, gako publikoarekin aparteko fitxategirik ez badago;
- libcrypto sisteman eskuragarri badago, ssh eta sshd-k liburutegi honetako chacha20 algoritmoaren inplementazioa erabiltzen du orain, errendimenduan atzean geratzen den inplementazio eramangarri integratuaren ordez;
- "ssh-keygen -lQf /path" komandoa exekutatzen denean ezeztatutako ziurtagirien zerrenda bitar baten edukia iraultzeko gaitasuna inplementatu da;
- Bertsio eramangarriak SA_RESTART aukera duten seinaleek hautaketaren funtzionamendua eteten duten sistemen definizioak ezartzen ditu;
- HP/UX eta AIX sistemetan muntatzeko arazoak konpondu ditu;
- Linux konfigurazio batzuetan seccomp sandbox eraikitzeko arazoak konpondu dira;
- libfido2 liburutegiaren detekzioa hobetu da eta eraikuntza-arazoak konpondu dira "--with-security-key-builtin" aukerarekin.
OpenSSH garatzaileek berriro ere ohartarazi zuten SHA-1 hash-ak erabiliz algoritmoen deskonposizioa dela eta.
OpenSSH-n algoritmo berrietarako trantsizioa leuntzeko, etorkizuneko bertsio batean UpdateHostKeys ezarpena lehenespenez gaituta egongo da, eta horrek automatikoki migratuko ditu bezeroak algoritmo fidagarriagoetara. Migraziorako gomendatutako algoritmoen artean, RFC2 RSA SHA-256-n oinarritutako rsa-sha512-8332/2 (OpenSSH 7.2tik onartzen da eta lehenespenez erabiltzen da), ssh-ed25519 (OpenSSH 6.5etik onartzen da) eta ecdsa-sha2-nistp256/384/521/5656. RFC5.7 ECDSAn (OpenSSH XNUMXtik onartzen da).
Azken bertsiotik aurrera, "ssh-rsa" eta "diffie-hellman-group14-sha1" ziurtagiri berriak digitalki sinatzeko baimendutako algoritmoak definitzen dituen CASignatureAlgorithms zerrendatik kendu dira, ziurtagirietan SHA-1 erabiltzeak arrisku gehigarria suposatzen duelako. horregatik, erasotzaileak denbora mugagabea du lehendik dagoen ziurtagiri baten talka bilatzeko, ostalariaren gakoen erasoaren denbora konexioaren denbora-muga (LoginGraceTime) mugatuta dagoen bitartean.
Iturria: opennet.ru