Apre sis mwa nan devlopman lage , yon aplikasyon kliyan ak sèvè louvri pou travay atravè pwotokòl SSH 2.0 ak SFTP.
Atansyon espesyal nan nouvo lage a se eliminasyon yon vilnerabilite ki afekte ssh, sshd, ssh-add ak ssh-keygen. Pwoblèm nan prezan nan kòd la pou analize kle prive ak kalite XMSS la epi li pèmèt yon atakè deklanche yon debòde nonb antye relatif. Vilnerabilite a make kòm eksplwatasyon, men li pa itil anpil, paske sipò pou kle XMSS se yon karakteristik eksperimantal ki enfim pa default (vèsyon pòtab la pa menm gen yon opsyon bati nan autoconf pou pèmèt XMSS).
Chanjman prensipal yo:
- Nan ssh, sshd ak ssh-agent kòd ki anpeche rekiperasyon yon kle prive ki sitiye nan RAM kòm yon rezilta atak bò-chanèl, tankou , и . Kle prive yo kounye a kode lè yo chaje nan memwa epi yo dekripte sèlman lè yo itilize, yo rete kode rès tan an. Avèk apwòch sa a, avèk siksè refè kle prive a, atakè a dwe premye refè yon kle entèmedyè owaza pwodwi ki gen 16 KB nan gwosè, yo itilize ankripte kle prensipal la, ki se fasil bay pousantaj erè rekiperasyon tipik nan atak modèn;
- В Te ajoute sipò eksperimantal pou yon konplo senplifye pou kreye ak verifye siyati dijital. Siyati dijital yo ka kreye lè l sèvi avèk kle SSH regilye ki estoke sou disk oswa nan ajan ssh la, epi verifye lè l sèvi avèk yon bagay ki sanble ak authorized_keys. . Enfòmasyon sou espas non yo entegre nan siyati dijital la pou evite konfizyon lè yo itilize nan diferan zòn (pa egzanp, pou imel ak dosye);
- ssh-keygen te chanje pa default pou sèvi ak algorithm rsa-sha2-512 lè valide sètifika ak yon siyati dijital ki baze sou yon kle RSA (lè w ap travay nan mòd CA). Sètifika sa yo pa konpatib ak degaje anvan OpenSSH 7.2 (pou asire konpatibilite, kalite algorithm yo dwe pase sou plas, pou egzanp lè w rele "ssh-keygen -t ssh-rsa -s ...");
- Nan ssh, ekspresyon ProxyCommand kounye a sipòte ekspansyon sibstitisyon "%n" (non host ki espesifye nan ba adrès la);
- Nan lis algoritm chifreman pou ssh ak sshd, ou kapab kounye a itilize karaktè "^" pou mete algoritm yo defo. Pou egzanp, pou ajoute ssh-ed25519 nan lis default la, ou ka presize "HostKeyAlgorithms ^ssh-ed25519";
- ssh-keygen bay pwodiksyon yon kòmantè tache ak kle a lè ekstrè yon kle piblik ki soti nan yon kle prive;
- Te ajoute kapasite pou sèvi ak drapo "-v" nan ssh-keygen lè w ap fè operasyon kle rechèch (pa egzanp, "ssh-keygen -vF host"), espesifye ki rezilta nan yon siyati lame vizyèl;
- Te ajoute kapasite pou itilize kòm yon fòma altènatif pou estoke kle prive sou disk. Fòma PEM kontinye ap itilize pa default, epi PKCS8 ka itil pou reyalize konpatibilite ak aplikasyon pou twazyèm pati.
Sous: opennet.ru