Վեց ամիս մշակումից հետո ներկայացվեց OpenSSH 8.9-ի թողարկումը՝ բաց հաճախորդի և սերվերի ներդրում SSH 2.0 և SFTP արձանագրությունների վրա աշխատելու համար: sshd-ի նոր տարբերակը շտկում է խոցելիությունը, որը կարող է թույլ տալ չվավերացված մուտք: Խնդիրն առաջանում է նույնականացման կոդում ամբողջ թվի արտահոսքի պատճառով, սակայն այն կարող է օգտագործվել միայն կոդի այլ տրամաբանական սխալների հետ համատեղ:
Իր ներկայիս ձևով խոցելիությունը չի կարող շահագործվել, երբ արտոնությունների բաժանման ռեժիմը միացված է, քանի որ դրա դրսևորումն արգելափակված է արտոնությունների տարանջատման հետագծման կոդի առանձին ստուգումներով: Արտոնությունների տարանջատման ռեժիմը լռելյայն միացված է 2002 թվականից սկսած OpenSSH 3.2.2-ից և պարտադիր է OpenSSH 7.5-ի թողարկումից ի վեր, որը հրապարակվել է 2017 թվականին: Բացի այդ, OpenSSH-ի շարժական տարբերակներում՝ սկսած 6.5 (2014) թողարկումից, խոցելիությունն արգելափակված է կոմպիլյացիայի միջոցով՝ ներառելով ամբողջ թվերի հորդառատ պաշտպանության դրոշները:
Այլ փոփոխություններ.
- OpenSSH-ի շարժական տարբերակը sshd-ում հանել է MD5 ալգորիթմի միջոցով գաղտնաբառերի հեշավորման հիմնական աջակցությունը (թույլ տալով կապվել արտաքին գրադարանների հետ, ինչպիսիք են libxcrypt-ը):
- ssh-ը, sshd-ը, ssh-add-ը և ssh-agent-ը իրականացնում են ենթահամակարգ՝ սահմանափակելու ssh-agent-ին ավելացված ստեղների փոխանցումն ու օգտագործումը: Ենթահամակարգը թույլ է տալիս սահմանել կանոններ, որոնք որոշում են, թե ինչպես և որտեղ կարող են օգտագործվել բանալիները ssh-agent-ում: Օրինակ՝ բանալի ավելացնելու համար, որը կարող է օգտագործվել միայն scylla.example.org հոսթին միացող ցանկացած օգտատիրոջ նույնականացման համար, օգտատերը perseus՝ cetus.example.org հոսթին, իսկ medea օգտվողը՝ charybdis.example.org հոսթին: միջանկյալ հյուրընկալողի scylla.example.org-ի միջոցով վերահղման դեպքում կարող եք օգտագործել հետևյալ հրամանը՝ $ ssh-add -h "[էլեկտրոնային փոստով պաշտպանված]" \ -h "scylla.example.org" \ -h "scylla.example.org>[էլեկտրոնային փոստով պաշտպանված]\ ~/.ssh/id_ed25519
- ssh-ում և sshd-ում հիբրիդային ալգորիթմը լռելյայն ավելացվել է KexAlgorithms ցուցակին, որը որոշում է բանալիների փոխանակման մեթոդների ընտրության հերթականությունը:[էլեկտրոնային փոստով պաշտպանված]«(ECDH/x25519 + NTRU Prime), դիմացկուն է քվանտային համակարգիչների ընտրությանը: OpenSSH 8.9-ում այս բանակցային մեթոդն ավելացվել է ECDH և DH մեթոդների միջև, սակայն նախատեսվում է այն լռելյայն միացնել հաջորդ թողարկումում:
- ssh-keygen-ը, ssh-ը և ssh-agent-ը բարելավել են սարքի ստուգման համար օգտագործվող FIDO նշանի ստեղները, ներառյալ կենսաչափական նույնականացման բանալիները:
- ssh-keygen-ին ավելացվել է «ssh-keygen -Y match-principals» հրամանը՝ թույլատրված անունների ցանկի ֆայլում օգտագործողների անունները ստուգելու համար:
- ssh-add-ը և ssh-agent-ը հնարավորություն են տալիս PIN կոդով պաշտպանված FIDO ստեղները ավելացնել ssh-agent-ին (PIN հարցումը ցուցադրվում է նույնականացման պահին):
- ssh-keygen-ը թույլ է տալիս ընտրել հաշինգի ալգորիթմը (sha512 կամ sha256) ստորագրության ստեղծման ժամանակ:
- ssh-ում և sshd-ում, կատարողականությունը բարելավելու համար, ցանցի տվյալները կարդում են անմիջապես մուտքային փաթեթների բուֆերում՝ շրջանցելով միջանկյալ բուֆերացումը կույտի վրա: Ստացված տվյալների ուղղակի տեղադրումը ալիքի բուֆերում իրականացվում է նույն ձևով:
- Ssh-ում PubkeyAuthentication դիրեկտիվը ընդլայնել է աջակցվող պարամետրերի ցանկը (այո|ոչ|չկապված|հոսթ-կապված) ապահովելու համար օգտագործվող արձանագրության ընդլայնումն ընտրելու հնարավորություն:
Հետագա թողարկումում մենք նախատեսում ենք փոխել scp կոմունալ ծրագրի լռելյայնությունը՝ SFTP-ն օգտագործելու համար նախկին SCP/RCP արձանագրության փոխարեն: SFTP-ն օգտագործում է անունների մշակման ավելի կանխատեսելի մեթոդներ և չի օգտագործում գլոբի օրինաչափությունների մշակումը մյուս հյուրընկալողի կողմից ֆայլերի անուններում, ինչը անվտանգության խնդիրներ է ստեղծում: Մասնավորապես, SCP և RCP-ն օգտագործելիս սերվերը որոշում է, թե որ ֆայլերն ու գրացուցակները պետք է ուղարկի հաճախորդին, և հաճախորդը ստուգում է միայն վերադարձված օբյեկտների անունների ճշգրտությունը, ինչը հաճախորդի կողմից պատշաճ ստուգումների բացակայության դեպքում թույլ է տալիս. սերվեր փոխանցելու այլ ֆայլերի անուններ, որոնք տարբերվում են պահանջվածներից: SFTP արձանագրությունը չունի այս խնդիրները, բայց չի աջակցում հատուկ ուղիների ընդլայնմանը, ինչպիսին է «~/»: Այս տարբերությունը լուծելու համար OpenSSH-ի նախորդ թողարկումը ներկայացրեց SFTP արձանագրության նոր ընդլայնում ~/ և ~user/ ուղիների SFTP սերվերի ներդրման մեջ:
Source: opennet.ru