Eftir sex mánaða þróun sleppa , opin útfærsla á biðlara og netþjóni til að vinna yfir SSH 2.0 og SFTP samskiptareglur.
Sérstök athygli í nýju útgáfunni er að útrýma varnarleysi sem hefur áhrif á ssh, sshd, ssh-add og ssh-keygen. Vandamálið er til staðar í kóðanum fyrir þáttun einkalykla með XMSS gerðinni og gerir árásarmanni kleift að koma af stað heiltöluflæði. Varnarleysið er merkt sem hagnýtanlegt, en til lítils gagns, þar sem stuðningur við XMSS lykla er tilraunaeiginleiki sem er sjálfgefið óvirkur (færanlega útgáfan hefur ekki einu sinni smíðamöguleika í autoconf til að virkja XMSS).
Helstu breytingar:
- Í ssh, sshd og ssh-agent kóða sem kemur í veg fyrir endurheimt einkalykils sem staðsettur er í vinnsluminni vegna hliðarrásarárása, svo sem , и . Einkalyklar eru nú dulkóðaðir þegar þeir eru hlaðnir inn í minnið og afkóðaðir aðeins þegar þeir eru í notkun, áfram dulkóðaðir það sem eftir er. Með þessari nálgun, til að endurheimta einkalykilinn, verður árásarmaðurinn fyrst að endurheimta af handahófi myndaðan millilykil sem er 16 KB að stærð, notaður til að dulkóða aðallykilinn, sem er ólíklegt miðað við endurheimtarvilluhlutfallið sem er dæmigert fyrir nútíma árásir;
- В Bætti við tilraunastuðningi fyrir einfaldað kerfi til að búa til og staðfesta stafrænar undirskriftir. Hægt er að búa til stafrænar undirskriftir með því að nota venjulega SSH lykla sem eru geymdir á diski eða í ssh-agent og staðfesta með því að nota eitthvað svipað og authorized_keys . Nafnarýmisupplýsingar eru innbyggðar í stafrænu undirskriftina til að forðast rugling þegar þær eru notaðar á mismunandi svæðum (til dæmis fyrir tölvupóst og skrár);
- Sjálfgefið hefur verið skipt um ssh-keygen til að nota rsa-sha2-512 reikniritið þegar vottorð eru staðfest með stafrænni undirskrift byggða á RSA lykli (þegar unnið er í CA ham). Slík vottorð eru ekki samhæf við útgáfur fyrir OpenSSH 7.2 (til að tryggja eindrægni verður að hnekkja reikniritgerðinni, til dæmis með því að kalla "ssh-keygen -t ssh-rsa -s ...");
- Í ssh styður ProxyCommand tjáningin nú stækkun á "%n" skiptingunni (hýsilnafnið sem tilgreint er í vistfangastikunni);
- Í listum yfir dulkóðunaralgrím fyrir ssh og sshd geturðu nú notað „^“ stafinn til að setja inn sjálfgefna reiknirit. Til dæmis, til að bæta ssh-ed25519 við sjálfgefna listann, geturðu tilgreint "HostKeyAlgorithms ^ssh-ed25519";
- ssh-keygen veitir úttak af athugasemd sem fylgir lyklinum þegar opinber lykill er tekinn út úr einkalykil;
- Bætti við möguleikanum á að nota "-v" fánann í ssh-keygen þegar þú framkvæmir lyklaleitaraðgerðir (til dæmis, "ssh-keygen -vF host"), og tilgreinir hvað leiðir til sjónrænnar gestgjafaundirskriftar;
- Bætti við möguleikanum til að nota sem annað snið til að geyma einkalykla á diski. PEM sniðið heldur áfram að vera notað sjálfgefið og PKCS8 gæti verið gagnlegt til að ná fram eindrægni við forrit frá þriðja aðila.
Heimild: opennet.ru