Sei hilabeteko garapenaren ondoren, OpenSSH 8.9ren bertsioa aurkeztu zen, SSH 2.0 eta SFTP protokoloen gainean lan egiteko bezero eta zerbitzari irekiaren inplementazioa. Sshd-ren bertsio berriak autentifikatu gabeko sarbidea ahalbidetu dezakeen ahultasun bat konpontzen du. Arazoa autentifikazio-kodean osoko gainezkatze batek eragiten du, baina kodeko beste akats logiko batzuekin batera soilik ustiatu daiteke.
Gaur egungo forman, ahultasuna ezin da ustiatu pribilegioak bereizteko modua gaituta dagoenean, bere agerpena pribilegioak bereizteko jarraipen-kodean egindako egiaztapen bereiziek blokeatzen baitute. Pribilegioak bereizteko modua lehenespenez gaituta dago 2002tik OpenSSH 3.2.2 geroztik, eta derrigorrezkoa da 7.5an argitaratutako OpenSSH 2017 kaleratu zenetik. Horrez gain, 6.5 (2014) bertsioarekin hasten diren OpenSSH-ren bertsio eramangarrietan, ahultasuna blokeatzen da konpilazioaren bidez, osoko gainezkatze-babesezko banderak sartuta.
Beste aldaketa batzuk:
- Sshd-en OpenSSH-ren bertsio eramangarriak pasahitzak hash egiteko jatorrizko laguntza kendu du MD5 algoritmoa erabiliz (libxcrypt bezalako kanpoko liburutegiekin estekatzea ahalbidetzen du itzultzeko).
- ssh, sshd, ssh-add eta ssh-agent azpisistema bat ezartzen dute ssh-agent-era gehitutako gakoen birbidaltzea eta erabilera mugatzeko. Azpisistemak ssh-agent-en gakoak nola eta non erabil daitezkeen zehazten duten arauak ezartzeko aukera ematen du. Esaterako, scylla.example.org ostalariarekin konektatzen den edozein erabiltzaile autentifikatzeko soilik erabil daitekeen gako bat gehitzeko, erabiltzailea perseus ostalari cetus.example.org eta erabiltzailea medea ostalari charybdis.example.org. scylla.example.org tarteko ostalari baten bidez birbideratuta, komando hau erabil dezakezu: $ ssh-add -h "[posta elektroniko bidez babestua]" \ -h "scylla.example.org" \ -h "scylla.example.org>[posta elektroniko bidez babestua]\ ~/.ssh/id_ed25519
- Ssh eta sshd-n, algoritmo hibrido bat gehitu da lehenespenez KexAlgorithms zerrendara, eta horrek zehazten du gakoen truke-metodoak zein ordenatan hautatzen diren.[posta elektroniko bidez babestua]"(ECDH/x25519 + NTRU Prime), hautapenarekiko erresistentea ordenagailu kuantikoetan. OpenSSH 8.9-n, negoziazio-metodo hau ECDH eta DH metodoen artean gehitu zen, baina hurrengo bertsioan lehenespenez gaituta egotea aurreikusten da.
- ssh-keygen, ssh eta ssh-agent-ek gailua egiaztatzeko erabiltzen diren FIDO token gakoen kudeaketa hobetu dute, autentifikazio biometrikorako gakoak barne.
- "ssh-keygen -Y match-principals" komandoa gehitu da ssh-keygen-i erabiltzaile-izenak egiaztatzeko baimendutako izenen zerrenda fitxategian.
- ssh-add eta ssh-agent-ek PIN kode batek babestutako FIDO gakoak gehitzeko aukera ematen dute ssh-agent-era (PIN eskaera autentifikazioaren unean bistaratzen da).
- ssh-keygen-ek hashing algoritmoa aukeratzeko aukera ematen du (sha512 edo sha256) sinadura sortzean.
- Ssh eta sshd-n, errendimendua hobetzeko, sareko datuak zuzenean sarrerako paketeen bufferean irakurtzen dira, pilako tarteko buffera saihestuz. Jasotako datuak kanal-buffer batean kokatzea zuzenean antzera gauzatzen da.
- Ssh-n, PubkeyAuthentication zuzentarauak onartutako parametroen zerrenda zabaldu du (bai|ez|unbound|ostalari lotua) erabili beharreko protokolo-luzapena hautatzeko aukera emateko.
Etorkizuneko bertsio batean, scp utilitatearen lehenetsia aldatzeko asmoa dugu SCP/RCP protokoloaren ordez SFTP erabiltzeko. SFTP-k izenak kudeatzeko metodo aurreikusgarriagoak erabiltzen ditu eta ez du erabiltzen beste ostalariaren fitxategi-izenetan glob ereduen shell-en prozesamendua, eta horrek segurtasun arazoak sortzen ditu. Bereziki, SCP eta RCP erabiltzean, zerbitzariak erabakitzen du zein fitxategi eta direktorio bidali bezeroari, eta bezeroak bakarrik egiaztatzen du itzultzen diren objektuen izenen zuzentasuna, eta horrek, bezeroaren aldetik egiaztapen egokirik ezean, aukera ematen du. zerbitzariak eskatutakoetatik desberdinak diren beste fitxategi-izen batzuk transferitzeko. SFTP protokoloak ez ditu arazo hauek, baina ez du onartzen "~/" bezalako bide berezien hedapena. Desberdintasun horri aurre egiteko, OpenSSH-ren aurreko bertsioak SFTP protokoloaren luzapen berria sartu zuen ~/ eta ~user/ bideetan SFTP zerbitzariaren inplementazioan.
Iturria: opennet.ru