Eftir sex mánaða þróun er útgáfa OpenSSH 8.9, opin útfærsla á biðlara og netþjóni til að vinna yfir SSH 2.0 og SFTP samskiptareglur, kynnt. Nýja útgáfan af sshd lagar veikleika sem gæti hugsanlega leyft óstaðfestan aðgang. Vandamálið stafar af heiltöluflæði í auðkenningarkóðann, en aðeins er hægt að nýta það ásamt öðrum rökfræðilegum villum í kóðanum.
Í núverandi mynd er ekki hægt að nýta veikleikann þegar aðskilnaðarhamur forréttinda er virkur, þar sem birtingarmynd hans er læst með aðskildum athugunum sem framkvæmdar eru í rekningarkóða forréttindaaðskilnaðar. Forréttindaaðskilnaðarhamur hefur verið virkur sjálfgefið síðan 2002 síðan OpenSSH 3.2.2 og hefur verið skylda síðan OpenSSH 7.5 kom út árið 2017. Að auki, í færanlegum útgáfum af OpenSSH sem byrjar með útgáfu 6.5 (2014), er varnarleysið lokað með samantekt með því að innihalda heiltölu yfirflæðisvarnarflögg.
Aðrar breytingar:
- Færanleg útgáfa af OpenSSH í sshd hefur fjarlægt innbyggðan stuðning við að hassa lykilorð með því að nota MD5 reikniritið (sem gerir tengingu við ytri bókasöfn eins og libxcrypt kleift að koma aftur).
- ssh, sshd, ssh-add og ssh-agent útfæra undirkerfi til að takmarka flutning og notkun lykla sem bætt er við ssh-agent. Undirkerfið gerir þér kleift að setja reglur sem ákvarða hvernig og hvar lykla má nota í ssh-agent. Til dæmis, til að bæta við lykli sem aðeins er hægt að nota til að auðkenna þegar notandi tengist hýsilnum scylla.example.org, notandinn perseus við hýsilinn cetus.example.org og notandinn medea við hýsilinn charybdis.example.org með tilvísun í gegnum millihýsilinn scylla.example.org, geturðu notað eftirfarandi skipun: $ ssh-add -h "perseus@cetus.example.org" \ -h "scylla.example.org" \ -h "scylla.example.org>medea@charybdis.example.org" \ ~/.ssh/id_ed25519
- Í ssh og sshd hefur blendingsreikniritinu "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime), sem er ónæmt fyrir brúttöfum á skammtatölvum, verið bætt við KexAlgorithms listann sjálfgefið, sem ákvarðar röð lyklaskiptaaðferða. Í OpenSSH 8.9 var þessari samningaaðferð bætt við milli ECDH og DH aðferðanna, en áætlað er að hún verði notuð sjálfgefið í næstu útgáfu.
- ssh-keygen, ssh og ssh-agent hafa bætta meðhöndlun á FIDO token lyklum sem notaðir eru til að sannprófa tæki, þar á meðal lykla fyrir líffræðileg tölfræði auðkenningar.
- Bætti "ssh-keygen -Y match-principals" skipuninni við ssh-keygen til að athuga notendanöfn í leyfisskránni.
- ssh-add og ssh-agent veita möguleika á að bæta FIDO lyklum sem eru verndaðir með PIN-kóða við ssh-agent (PIN-beiðnin birtist við auðkenningu).
- ssh-keygen gerir kleift að velja um hashing algrím (sha512 eða sha256) meðan á undirskriftargerð stendur.
- Í ssh og sshd, til að bæta afköst, eru netgögn lesin beint inn í biðminni á komandi pakka og framhjá millibili á staflanum. Bein staðsetning móttekinna gagna í biðminni rásar er útfærð á svipaðan hátt.
- Í ssh hefur PubkeyAuthentication tilskipunin stækkað listann yfir studdar færibreytur (já|nei|óbundið|hýsilbundið) til að veita möguleika á að velja samskiptaviðbótina sem á að nota.
Í framtíðarútgáfu er áætlað að scp tólið muni sjálfkrafa skipta yfir í SFTP, sem kemur í stað eldri SCP/RCP samskiptareglna. SFTP notar fyrirsjáanlegri aðferðir við meðhöndlun nafna og forðast öryggisbundna meðhöndlun á glob-mynstrum í skráarnöfnum í gegnum skelina á hinum vélinni. Nánar tiltekið, þegar SCP og RCP eru notuð, ákveður netþjónninn hvaða skrár og möppur á að senda til viðskiptavinarins, en viðskiptavinurinn athugar aðeins hvort nöfn hluta sem skilað er séu rétt. Þetta gerir ráð fyrir öryggisbrotum ef viðeigandi athuganir eru ekki framkvæmdar á viðskiptavinarmegin. netþjónn Flytja önnur skráarnöfn en þau sem beðið er um. SFTP-samskiptareglurnar eru lausar við þessi vandamál, en þær styðja ekki útvíkkun sérstakra slóða eins og "~/". Til að bregðast við þessum mun var ný viðbót við SFTP-samskiptareglur til að útvíkka slóðirnar ~/ og ~user/ lagt til í fyrri OpenSSH útgáfu af SFTP-þjóninum.
Heimild: opennet.ru
