Eftir sex mánaða þróun er útgáfa OpenSSH 8.9, opin útfærsla á biðlara og netþjóni til að vinna yfir SSH 2.0 og SFTP samskiptareglur, kynnt. Nýja útgáfan af sshd lagar veikleika sem gæti hugsanlega leyft óstaðfestan aðgang. Vandamálið stafar af heiltöluflæði í auðkenningarkóðann, en aðeins er hægt að nýta það ásamt öðrum rökfræðilegum villum í kóðanum.
Í núverandi mynd er ekki hægt að nýta veikleikann þegar aðskilnaðarhamur forréttinda er virkur, þar sem birtingarmynd hans er læst með aðskildum athugunum sem framkvæmdar eru í rekningarkóða forréttindaaðskilnaðar. Forréttindaaðskilnaðarhamur hefur verið virkur sjálfgefið síðan 2002 síðan OpenSSH 3.2.2 og hefur verið skylda síðan OpenSSH 7.5 kom út árið 2017. Að auki, í færanlegum útgáfum af OpenSSH sem byrjar með útgáfu 6.5 (2014), er varnarleysið lokað með samantekt með því að innihalda heiltölu yfirflæðisvarnarflögg.
Aðrar breytingar:
- Færanleg útgáfa af OpenSSH í sshd hefur fjarlægt innbyggðan stuðning við að hassa lykilorð með því að nota MD5 reikniritið (sem gerir tengingu við ytri bókasöfn eins og libxcrypt kleift að koma aftur).
- ssh, sshd, ssh-add og ssh-agent innleiða undirkerfi til að takmarka framsendingu og notkun lykla sem bætt er við ssh-agent. Undirkerfið gerir þér kleift að setja reglur sem ákvarða hvernig og hvar lykla má nota í ssh-agent. Til dæmis, til að bæta við lykli sem aðeins er hægt að nota til að auðkenna hvaða notanda sem tengist hýsilinn scylla.example.org, notandinn perseus við hýsilinn cetus.example.org og notandann medea við hýsilinn charybdis.example.org með tilvísun í gegnum millihýsil scylla.example.org geturðu notað eftirfarandi skipun: $ ssh-add -h "[netvarið]" \ -h "scylla.example.org" \ -h "scylla.example.org>[netvarið]\ ~/.ssh/id_ed25519
- Í ssh og sshd hefur blendingsalgrími verið bætt sjálfgefið við KexAlgorithms listann, sem ákvarðar í hvaða röð lykilskiptaaðferðir eru valdar.[netvarið]"(ECDH/x25519 + NTRU Prime), ónæmur fyrir vali á skammtatölvum. Í OpenSSH 8.9 var þessari samningaaðferð bætt við á milli ECDH og DH aðferðanna, en fyrirhugað er að það verði sjálfgefið virkt í næstu útgáfu.
- ssh-keygen, ssh og ssh-agent hafa bætta meðhöndlun á FIDO token lyklum sem notaðir eru til að sannprófa tæki, þar á meðal lykla fyrir líffræðileg tölfræði auðkenningar.
- Bætti "ssh-keygen -Y match-principals" skipuninni við ssh-keygen til að athuga notendanöfn í leyfisskránni.
- ssh-add og ssh-agent veita möguleika á að bæta FIDO lyklum sem eru verndaðir með PIN-kóða við ssh-agent (PIN-beiðnin birtist við auðkenningu).
- ssh-keygen gerir kleift að velja um hashing algrím (sha512 eða sha256) meðan á undirskriftargerð stendur.
- Í ssh og sshd, til að bæta afköst, eru netgögn lesin beint inn í biðminni á komandi pakka og framhjá millibili á staflanum. Bein staðsetning móttekinna gagna í biðminni rásar er útfærð á svipaðan hátt.
- Í ssh hefur PubkeyAuthentication tilskipunin stækkað listann yfir studdar færibreytur (já|nei|óbundið|hýsilbundið) til að veita möguleika á að velja samskiptaviðbótina sem á að nota.
Í framtíðarútgáfu ætlum við að breyta sjálfgefna scp tólinu til að nota SFTP í stað eldri SCP/RCP samskiptareglur. SFTP notar fyrirsjáanlegri nafnameðferðaraðferðir og notar ekki skelvinnslu á hnattmynstri í skráarnöfnum hinum megin við hýsilinn, sem skapar öryggisvandamál. Sérstaklega, þegar SCP og RCP eru notuð, ákveður þjónninn hvaða skrár og möppur á að senda til viðskiptavinarins, og viðskiptavinurinn athugar aðeins réttmæti hlutarnafna sem skilað er, sem, ef ekki er rétt athugað á biðlarahliðinni, gerir það kleift að miðlara til að flytja önnur skráarnöfn sem eru frábrugðin þeim sem óskað er eftir. SFTP samskiptareglan hefur ekki þessi vandamál, en styður ekki stækkun sérstakra leiða eins og „~/“. Til að bregðast við þessum mismun kynnti fyrri útgáfa af OpenSSH nýja SFTP samskiptaregluframlengingu á ~/ og ~user/ slóðirnar í útfærslu SFTP netþjónsins.
Heimild: opennet.ru