ProHoster > Pūnaewele > nūhou pūnaewele > Hoʻokuʻu ʻia o OpenSSH 8.9 me ka hoʻopau ʻana i ka nāwaliwali ma sshd

Hoʻokuʻu ʻia o OpenSSH 8.9 me ka hoʻopau ʻana i ka nāwaliwali ma sshd

Ma hope o ʻeono mahina o ka hoʻomohala ʻana, ua hōʻike ʻia ka hoʻokuʻu ʻana o OpenSSH 8.9, kahi mea kūʻai aku a me ka hoʻokō server no ka hana ʻana ma luna o nā protocol SSH 2.0 a me SFTP. Hoʻoponopono ka mana hou o sshd i kahi nāwaliwali e hiki ai ke ʻae i ke komo ʻole ʻia. Hoʻokumu ʻia ka pilikia ma muli o ka integer overflow i ka code authentication, akā hiki ke hoʻohana wale ʻia i ka hui pū ʻana me nā hewa kūpono ʻē aʻe i ke code.

I kona ʻano i kēia manawa, ʻaʻole hiki ke hoʻohana ʻia ka nāwaliwali ke hoʻohana ʻia ke ʻano hoʻokaʻawale kuleana, no ka mea ua pale ʻia kona hōʻike ʻana e nā loiloi kaʻawale i hana ʻia ma ka code tracking separation. Ua hoʻohana ʻia ke ʻano hoʻokaʻawale kuleana ma ka paʻamau mai 2002 mai OpenSSH 3.2.2, a ua koi ʻia mai ka hoʻokuʻu ʻia ʻana o OpenSSH 7.5 i paʻi ʻia ma 2017. Eia kekahi, ma nā ʻano lawe lima o OpenSSH e hoʻomaka ana me ka hoʻokuʻu ʻana 6.5 (2014), ua ālai ʻia ka nāwaliwali e ka hui pū ʻana me ka hoʻokomo ʻana i nā hae pale overflow integer.

Nā hoʻololi ʻē aʻe:

  • Ua wehe ka mana lawe lima o OpenSSH ma sshd i ke kākoʻo maoli no ka hashing password me ka MD5 algorithm (e ʻae ana i ka pilina me nā hale waihona puke e like me libxcrypt e hoʻi mai).
  • ssh, sshd, ssh-add, a me ssh-agent e hoʻokō i kahi subsystem e kaupalena i ka hoʻouna ʻana a me ka hoʻohana ʻana i nā kī i hoʻohui ʻia i ka ssh-agent. Hāʻawi ka subsystem iā ʻoe e hoʻonohonoho i nā lula e hoʻoholo ai pehea a me kahi e hoʻohana ʻia ai nā kī ma ssh-agent. No ka laʻana, e hoʻohui i kahi kī hiki ke hoʻohana wale ʻia e hōʻoia i ka mea hoʻohana e pili ana i ka host scylla.example.org, hoʻomaʻamaʻa ka mea hoʻohana i ka host cetus.example.org, a me ka mea hoʻohana medea i ka host charybdis.example.org me ka hoʻihoʻi ʻana ma o ka host intermediate scylla.example.org, hiki iā ʻoe ke hoʻohana i kēia kauoha: $ ssh-add -h "[pale ʻia ka leka uila]" \ -h "scylla.example.org" \ -h "scylla.example.org>[pale ʻia ka leka uila]\ ~/.ssh/id_ed25519
  • Ma ssh a me sshd, ua hoʻohui ʻia kahi algorithm hybrid ma ke ʻano maʻamau i ka papa inoa KexAlgorithms, ka mea e hoʻoholo ai i ke ʻano o ke koho ʻana i nā ala hoʻololi kī.[pale ʻia ka leka uila]"(ECDH/x25519 + NTRU Prime), kū'ē i ke koho ma nā kamepiula quantum. Ma OpenSSH 8.9, ua hoʻohui ʻia kēia ʻano kūkākūkā ma waena o nā ʻano ECDH a me DH, akā ua hoʻolālā ʻia e hiki ke hoʻohana ʻia ma ka paʻamau i ka hoʻokuʻu aʻe.
  • Ua hoʻomaikaʻi ʻo ssh-keygen, ssh, a me ssh-agent i ka lawelawe ʻana i nā kī hōʻailona FIDO i hoʻohana ʻia no ka hōʻoia ʻana o ka hāmeʻa, me nā kī no ka hōʻoia biometric.
  • Hoʻohui ʻia "ssh-keygen -Y match-principals" kauoha iā ssh-keygen e nānā i nā inoa inoa ma ka faila inoa inoa i ʻae ʻia.
  • Hāʻawi ka ssh-add a me ka ssh-agent i ka hiki ke hoʻohui i nā kī FIDO i pale ʻia e kahi code PIN i ka ssh-agent (hōʻike ʻia ka noi PIN i ka manawa o ka hōʻoia).
  • Hiki i ka ssh-keygen ke koho i ka hashing algorithm (sha512 a i ʻole sha256) i ka wā o ka hana pūlima.
  • Ma ssh a me sshd, no ka hoʻomaikaʻi ʻana i ka hana, heluhelu pololei ʻia ka ʻikepili pūnaewele i loko o ka buffer o nā paʻi e hiki mai ana, e kāpae ana i ka buffering waena ma ka waihona. Hoʻokomo ʻia ka hoʻokomo pololei ʻana o ka ʻikepili i loaʻa i loko o kahi paʻa kahawai ma ke ʻano like.
  • Ma ssh, ua hoʻonui ka PubkeyAuthentication kuhikuhi i ka papa inoa o nā ʻāpana i kākoʻo ʻia (ʻae | ʻaʻole | unbound | host-bound) e hāʻawi i ka hiki ke koho i ka hoʻonui protocol e hoʻohana ai.

I ka wā e hiki mai ana, hoʻolālā mākou e hoʻololi i ka paʻamau o ka pono scp e hoʻohana i ka SFTP ma kahi o ka protocol SCP/RCP hoʻoilina. Hoʻohana ʻo SFTP i nā ʻano hana hoʻopaʻa inoa ʻoi aku ka wānana a ʻaʻole hoʻohana i ka hoʻoheheʻe ʻana o nā ʻano glob ma nā inoa faila ma ka ʻaoʻao o ka mea hoʻokipa, e hoʻokumu ana i nā pilikia palekana. ʻO ka mea nui, i ka wā e hoʻohana ai iā SCP a me RCP, hoʻoholo ke kikowaena i nā faila a me nā papa kuhikuhi e hoʻouna aku i ka mea kūʻai aku, a nānā wale ka mea kūʻai aku i ka pololei o nā inoa mea i hoʻihoʻi ʻia, ka mea, me ka ʻole o nā loiloi kūpono ma ka ʻaoʻao o ka mea kūʻai aku, e ʻae i ka server e hoʻoili i nā inoa faila ʻē aʻe i ʻokoʻa mai nā mea i noi ʻia. ʻAʻole loaʻa kēia mau pilikia i ka protocol SFTP, akā ʻaʻole kākoʻo i ka hoʻonui ʻana i nā ala kūikawā e like me "~/". No ka hoʻoponopono ʻana i kēia ʻokoʻa, ua manaʻo ʻia kahi hoʻonui hou i ka protocol SFTP i ka hoʻokuʻu mua ʻana o OpenSSH i ka hoʻokō ʻana o ka server SFTP e hoʻonui i nā ala ~ / a me ~ mea hoʻohana /.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka