Às deidh trì mìosan de leasachadh
Tha an sgaoileadh ùr a’ cur dìon ris an aghaidh ionnsaighean scp a leigeas leis an fhrithealaiche ainmean-faidhle eile a thoirt seachad seach an fheadhainn a chaidh iarraidh (an taca ri
Faodar am feart seo, nuair a tha thu a’ ceangal ri frithealaiche fo smachd neach-ionnsaigh, a chleachdadh gus ainmean faidhle eile agus susbaint eile ann am FS an neach-cleachdaidh a shàbhaladh nuair a bhios tu a’ dèanamh lethbhreac le bhith a’ cleachdadh scp ann an rèiteachaidhean a dh’ adhbhraicheas fàiligeadh nuair a bhios tu a’ gairm utimes (mar eisimpleir, nuair a tha utimes air an toirmeasg le poileasaidh SELinux no sìoltachan gairm siostam). Thathas den bheachd gur e glè bheag de dh’ ionnsaighean a bhios ann, oir ann an rèiteachaidhean àbhaisteach chan eil an gairm Utimes a’ fàiligeadh. A bharrachd air an sin, chan eil an ionnsaigh a’ dol gun mhothachadh - nuair a chuireas tu fios gu scp, chithear mearachd gluasad dàta.
Atharrachaidhean coitcheann:
- Ann an sftp, chaidh stad a chuir air obrachadh na h-argamaid “-1”, coltach ri ssh agus scp, ris an deach gabhail roimhe ach nach deach a leigeil seachad;
- Ann an sshd, nuair a bhios tu a’ cleachdadh IgnoreRhosts, tha trì roghainnean ann a-nis: “tha” - leig seachad rosta/shosts, “chan eil” - thoir spèis do rostas/shosts, agus “shosts a-mhàin” - leig le “.shosts” ach cuir à comas “.rhosts”;
- Tha Ssh a-nis a’ toirt taic do ionadachadh % TOKEN anns na roghainnean LocalFoward agus RemoteForward a thathas a’ cleachdadh gus socaidean Unix ath-stiùireadh;
- Ceadaich iuchraichean poblach a luchdachadh o fhaidhle gun chrioptachadh le iuchair phrìobhaideach mura h-eil faidhle air leth leis an iuchair phoblach;
- Ma tha libcrypto ri fhaighinn san t-siostam, bidh ssh agus sshd a-nis a’ cleachdadh buileachadh an algairim chacha20 bhon leabharlann seo, an àite buileachadh so-ghiùlain togte, a tha air dheireadh ann an coileanadh;
- Chuir e an gnìomh an comas susbaint liosta binary de theisteanasan a chaidh a chùl-ghairm a dhumpadh nuair a chuirear an gnìomh an àithne “ssh-keygen -lQf / path”;
- Tha an tionndadh so-ghiùlain a' cur an gnìomh mìneachaidhean de shiostaman far a bheil comharran leis an roghainn SA_RESTART a' cur bacadh air obrachadh tagh;
- Fuasgladh dhuilgheadasan le co-chruinneachadh air siostaman HP / UX agus AIX;
- Duilgheadasan stèidhichte le bhith a’ togail bogsa gainmhich seccomp air cuid de rèiteachaidhean Linux;
- Lorgadh leabharlann libfido2 nas fheàrr agus dh’ fhuasgail e cùisean togail leis an roghainn “--with-security-key-builtin”.
Thug luchd-leasachaidh OpenSSH rabhadh a-rithist mu bhith a’ lobhadh algorithms a’ cleachdadh hashes SHA-1 air sgàth
Gus an gluasad gu algorithms ùra ann an OpenSSH a dhèanamh rèidh, ann am brath san àm ri teachd bidh an suidheachadh UpdateHostKeys air a chomasachadh gu bunaiteach, a ghluaiseas teachdaichean gu fèin-ghluasadach gu algorithms nas earbsaiche. Tha algorithms a thathar a’ moladh airson imrich a’ toirt a-steach rsa-sha2-256/512 stèidhichte air RFC8332 RSA SHA-2 (le taic bho OpenSSH 7.2 agus air a chleachdadh gu bunaiteach), ssh-ed25519 (le taic bho OpenSSH 6.5) agus ecdsa-sha2-nistp256/384/521 stèidhichte air RFC5656 ECDSA (le taic bho OpenSSH 5.7).
Mar a chaidh an sgaoileadh mu dheireadh, chaidh “ssh-rsa” agus “diffie-hellman-group14-sha1” a thoirt air falbh bhon liosta CASignatureAlgorithms a tha a’ mìneachadh na h-algorithms a tha ceadaichte teisteanasan ùra a shoidhnigeadh gu didseatach, leis gu bheil cleachdadh SHA-1 ann an teisteanasan na chunnart a bharrachd air sgàth gu bheil ùine gun chrìoch aig an neach-ionnsaigh airson tubaist a lorg airson teisteanas a tha ann mar-thà, fhad ‘s a tha an ùine ionnsaigh air iuchraichean aoigheachd air a chuingealachadh leis an ùine ceangail (LoginGraceTime).
Source: fosgailtenet.ru