Hiru hilabeteko garapenaren ostean askatu , SSH 2.0 eta SFTP protokoloen bidez lan egiteko bezero eta zerbitzarien inplementazio irekia.
Bertsio berriak scp erasoen aurkako babesa gehitzen du, zerbitzariari eskatutakoak ez diren beste fitxategi-izen batzuk pasatzeko aukera ematen diotenak (ezin , erasoak ez du posible egiten erabiltzaileak aukeratutako direktorioa edo glob maskara aldatzea). Gogoratu SCPn, zerbitzariak erabakitzen duela zein fitxategi eta direktorio bidali bezeroari, eta bezeroak soilik egiaztatzen duela itzultzen diren objektuen izenen zuzentasuna. Identifikatutako arazoaren funtsa da utimes sistema deiak huts egiten badu, fitxategiaren edukia fitxategi metadatu gisa interpretatzen dela.
Ezaugarri hau, erasotzaile batek kontrolatutako zerbitzari batera konektatzean, beste fitxategi-izen batzuk eta beste eduki batzuk gordetzeko erabil daiteke erabiltzailearen FS-n scp erabiliz kopiatzerakoan utimes deitzean huts egiten duten konfigurazioetan (adibidez, utimes debekatuta dagoenean). SELinux politika edo sistema-deien iragazkia) . Benetako erasoen probabilitatea gutxienekoa dela uste da, ohiko konfigurazioetan utimes deiak ez baitu huts egiten. Gainera, erasoa ez da oharkabean pasatzen - scp deitzean, datu-transferentzia-errore bat agertzen da.
Aldaketa orokorrak:
- sftp-n, "-1" argumentuaren prozesamendua gelditu da, ssh eta scp-en antzera, aurretik onartua baina baztertu egiten zena;
- Sshd-n, IgnoreRhosts erabiltzean, orain hiru aukera daude: "bai" - ez ikusi rhosts/shosts, "ez" - errespetatu rhosts/shosts, eta "shosts-only" - baimendu ".shosts" baina desgaitu ".rhosts";
- Ssh-k %TOKEN ordezkapena onartzen du Unix-en socketak birbideratzeko erabiltzen diren LocalFoward eta RemoteForward ezarpenetan;
- Baimendu gako publikoak gako pribatu batekin zifratu gabeko fitxategi batetik kargatzea, gako publikoarekin aparteko fitxategirik ez badago;
- libcrypto sisteman eskuragarri badago, ssh eta sshd-k liburutegi honetako chacha20 algoritmoaren inplementazioa erabiltzen du orain, errendimenduan atzean geratzen den inplementazio eramangarri integratuaren ordez;
- "ssh-keygen -lQf /path" komandoa exekutatzen denean ezeztatutako ziurtagirien zerrenda bitar baten edukia iraultzeko gaitasuna inplementatu da;
- Bertsio eramangarriak SA_RESTART aukera duten seinaleek hautaketaren funtzionamendua eteten duten sistemen definizioak ezartzen ditu;
- HP/UX eta AIX sistemetan muntatzeko arazoak konpondu ditu;
- Linux konfigurazio batzuetan seccomp sandbox eraikitzeko arazoak konpondu dira;
- libfido2 liburutegiaren detekzioa hobetu da eta eraikuntza-arazoak konpondu dira "--with-security-key-builtin" aukerarekin.
OpenSSH garatzaileek berriro ere ohartarazi zuten SHA-1 hash-ak erabiliz algoritmoen deskonposizioa dela eta. aurrizki jakin batekin talka-erasoen eraginkortasuna (talka hautatzeko kostua 45 mila dolar gutxi gorabehera estimatzen da). Datozen argitalpenetako batean, lehenespenez desgaitu nahi dute "ssh-rsa" gako publikoko sinadura digitalaren algoritmoa erabiltzeko gaitasuna, jatorrizko RFC-n SSH protokolorako aipatzen dena eta praktikan hedatuta jarraitzen duena (erabilera probatzeko. ssh-rsa zure sistemetan, ssh bidez konektatzen saia zaitezke "-oHostKeyAlgorithms=-ssh-rsa" aukerarekin).
OpenSSH-n algoritmo berrietarako trantsizioa leuntzeko, etorkizuneko bertsio batean UpdateHostKeys ezarpena lehenespenez gaituta egongo da, eta horrek automatikoki migratuko ditu bezeroak algoritmo fidagarriagoetara. Migraziorako gomendatutako algoritmoen artean, RFC2 RSA SHA-256-n oinarritutako rsa-sha512-8332/2 (OpenSSH 7.2tik onartzen da eta lehenespenez erabiltzen da), ssh-ed25519 (OpenSSH 6.5etik onartzen da) eta ecdsa-sha2-nistp256/384/521/5656. RFC5.7 ECDSAn (OpenSSH XNUMXtik onartzen da).
Azken bertsiotik aurrera, "ssh-rsa" eta "diffie-hellman-group14-sha1" ziurtagiri berriak digitalki sinatzeko baimendutako algoritmoak definitzen dituen CASignatureAlgorithms zerrendatik kendu dira, ziurtagirietan SHA-1 erabiltzeak arrisku gehigarria suposatzen duelako. horregatik, erasotzaileak denbora mugagabea du lehendik dagoen ziurtagiri baten talka bilatzeko, ostalariaren gakoen erasoaren denbora konexioaren denbora-muga (LoginGraceTime) mugatuta dagoen bitartean.
Iturria: opennet.ru