Sawise telung sasi pembangunan
Rilis anyar nambahake proteksi marang serangan scp sing ngidini server ngliwati jeneng file liyane tinimbang sing dijaluk (minangka lawan kanggo
Fitur iki, nalika nyambung menyang server sing dikontrol dening panyerang, bisa digunakake kanggo nyimpen jeneng file liyane lan konten liyane ing FS pangguna nalika nyalin nggunakake scp ing konfigurasi sing nyebabake gagal nalika nelpon utimes (contone, nalika utimes dilarang dening kabijakan SELinux utawa filter panggilan sistem). Kemungkinan serangan nyata kira-kira minimal, amarga ing konfigurasi khas panggilan utimes ora gagal. Kajaba iku, serangan kasebut ora dingerteni - nalika nelpon scp, kesalahan transfer data ditampilake.
Owah-owahan umum:
- Ing sftp, pangolahan argumen "-1" wis mandheg, padha karo ssh lan scp, sing sadurunge ditampa nanging ora digatekake;
- Ing sshd, nalika nggunakake IgnoreRhosts, saiki ana telung pilihan: "ya" - nglirwakake rhosts / shosts, "ora" - ngormati rhosts / shosts, lan "shosts-mung" - ngidini ".shosts" nanging mateni ".rhosts";
- Ssh saiki ndhukung substitusi% TOKEN ing setelan LocalFoward lan RemoteForward sing digunakake kanggo ngarahake soket Unix;
- Ngidini mbukak kunci umum saka file sing ora dienkripsi nganggo kunci pribadi yen ora ana file sing kapisah karo kunci umum;
- Yen libcrypto kasedhiya ing sistem, ssh lan sshd saiki nggunakake implementasine saka algoritma chacha20 saka perpustakaan iki, tinimbang implementasine hotspot dibangun ing, kang lags konco ing kinerja;
- Dileksanakake kemampuan kanggo mbucal isi dhaftar binar sertifikat revoked nalika nglakokakΓ© printah "ssh-keygen -lQf / path";
- Versi portabel ngleksanakake definisi sistem sing sinyal karo opsi SA_RESTART ngganggu operasi pilih;
- Ngatasi masalah karo perakitan ing sistem HP / UX lan AIX;
- Ndandani masalah karo mbangun kothak wedhi seccom ing sawetara konfigurasi Linux;
- Deteksi perpustakaan libfido2 sing luwih apik lan ngrampungake masalah mbangun kanthi pilihan "--with-security-key-builtin".
Pangembang OpenSSH uga ngelingake maneh babagan dekomposisi algoritma sing bakal ditindakake nggunakake hash SHA-1 amarga
Kanggo nglancarake transisi menyang algoritma anyar ing OpenSSH, ing mangsa ngarep, setelan UpdateHostKeys bakal diaktifake kanthi standar, sing bakal kanthi otomatis migrasi klien menyang algoritma sing luwih dipercaya. Algoritma sing disaranake kanggo migrasi kalebu rsa-sha2-256/512 adhedhasar RFC8332 RSA SHA-2 (didhukung wiwit OpenSSH 7.2 lan digunakake kanthi standar), ssh-ed25519 (didhukung wiwit OpenSSH 6.5) lan adhedhasar ecdsa-sha2-nistp256/384/521 ing RFC5656 ECDSA (didhukung wiwit OpenSSH 5.7).
Ing rilis pungkasan, "ssh-rsa" lan "diffie-hellman-group14-sha1" wis dibusak saka dhaptar CASignatureAlgorithms sing nemtokake algoritma sing diijini mlebu sertifikat anyar kanthi digital, amarga nggunakake SHA-1 ing sertifikat nyebabake risiko tambahan. amarga panyerang duwe wektu tanpa wates kanggo nggoleki tabrakan kanggo sertifikat sing wis ana, nalika wektu serangan ing tombol host diwatesi dening wektu entek sambungan (LoginGraceTime).
Source: opennet.ru