Үш айлық дамудан кейін босату , SSH 2.0 және SFTP протоколдары арқылы жұмыс істеуге арналған ашық клиент пен серверді іске асыру.
Жаңа шығарылым серверге сұралғандардан басқа файл атауларын беруге мүмкіндік беретін scp шабуылдарынан қорғауды қосады. , шабуыл пайдаланушы таңдаған каталогты немесе глоб маскасын өзгертуге мүмкіндік бермейді). Еске салайық, SCP-де сервер клиентке қандай файлдар мен каталогтарды жіберу керектігін шешеді, ал клиент тек қайтарылған нысан атауларының дұрыстығын тексереді. Анықталған мәселенің мәні мынада, егер utimes жүйелік шақыруы сәтсіз аяқталса, онда файлдың мазмұны файл метадеректері ретінде түсіндіріледі.
Бұл мүмкіндік шабуылдаушы басқаратын серверге қосылған кезде, utime шақыру кезінде сәтсіздікке әкелетін конфигурацияларда scp көмегімен көшіру кезінде (мысалы, utimes тыйым салған кезде) пайдаланушының FS жүйесінде басқа файл атауларын және басқа мазмұнды сақтау үшін пайдаланылуы мүмкін. SELinux саясаты немесе жүйелік қоңырау сүзгісі). Нақты шабуылдардың ықтималдығы ең аз деп бағаланады, өйткені әдеттегі конфигурацияларда utime қоңырауы сәтсіз аяқталмайды. Сонымен қатар, шабуыл назардан тыс қалмайды - scp-ге қоңырау шалу кезінде деректерді беру қатесі көрсетіледі.
Жалпы өзгерістер:
- sftp ішінде бұрын қабылданған, бірақ еленбеген ssh және scp сияқты «-1» аргументін өңдеу тоқтатылды;
- sshd ішінде IgnoreRhosts қолданбасын пайдаланған кезде қазір үш таңдау бар: "иә" - rhosts/shosts елемеу, "жоқ" - rhosts/shosts құрметтеу және "тек шолулар" - ".shosts" рұқсат ету, бірақ ".rhosts" рұқсат бермеу;
- Ssh енді Unix ұяшықтарын қайта бағыттау үшін пайдаланылатын LocalFoward және RemoteForward параметрлерінде %TOKEN ауыстыруды қолдайды;
- Ашық кілті бар бөлек файл болмаса, шифрланбаған файлдан жеке кілтпен ашық кілттерді жүктеуге рұқсат ету;
- Жүйеде libcrypto қолжетімді болса, ssh және sshd енді өнімділікте артта қалатын кірістірілген портативті іске асырудың орнына осы кітапханадағы chacha20 алгоритмін іске асыруды пайдаланады;
- «ssh-keygen -lQf /path» пәрменін орындау кезінде күші жойылған сертификаттардың екілік тізімінің мазмұнын демпинг мүмкіндігі енгізілді;
- Портативті нұсқа SA_RESTART опциясы бар сигналдар таңдау жұмысын тоқтататын жүйелердің анықтамаларын жүзеге асырады;
- HP/UX және AIX жүйелерінде құрастыру мәселелері шешілді;
- Кейбір Linux конфигурацияларында seccomp құм жәшігін құруға қатысты ақаулар түзетілді;
- Жақсартылған libfido2 кітапханасын анықтау және "--with-security-key-builtin" опциясымен құрастыру мәселелері шешілді.
OpenSSH әзірлеушілері сонымен қатар SHA-1 хэштерін қолданатын алгоритмдердің ыдырауы туралы тағы да ескертті. берілген префикспен соқтығысқан шабуылдардың тиімділігі (соқтығысты таңдау құны шамамен 45 мың долларға бағаланады). Алдағы шығарылымдардың бірінде олар SSH хаттамасы үшін бастапқы RFC-де айтылған және практикада кеңінен таралған (пайдалануды тексеру үшін) «ssh-rsa» сандық қолтаңбасының ашық кілтін пайдалану мүмкіндігін әдепкі бойынша өшіруді жоспарлап отыр. Жүйелеріңізде ssh-rsa файлын пайдалансаңыз, «-oHostKeyAlgorithms=-ssh-rsa» опциясымен ssh арқылы қосылуға болады).
OpenSSH жүйесінде жаңа алгоритмдерге ауысуды тегістеу үшін болашақ шығарылымда UpdateHostKeys параметрі әдепкі бойынша қосылады, ол клиенттерді сенімдірек алгоритмдерге автоматты түрде көшіреді. Тасымалдау үшін ұсынылған алгоритмдерге RFC2 RSA SHA-256 негізіндегі rsa-sha512-8332/2 (OpenSSH 7.2 нұсқасынан бері қолдау көрсетіледі және әдепкі бойынша пайдаланылады), ssh-ed25519 (OpenSSH 6.5 нұсқасынан бері қолдау көрсетіледі) және ecdsa-sha2-nistp256/384 негізіндегі алгоритмдер кіреді. RFC521 ECDSA (OpenSSH 5656 нұсқасынан бері қолдау көрсетіледі).
Соңғы шығарылымдағы жағдай бойынша "ssh-rsa" және "diffie-hellman-group14-sha1" жаңа сертификаттарға цифрлық қол қоюға рұқсат етілген алгоритмдерді анықтайтын CASignatureAlgorithms тізімінен жойылды, өйткені сертификаттарда SHA-1 пайдалану қосымша қауіп төндіреді. осыған байланысты шабуылдаушыда бар сертификат үшін коллизияны іздеу үшін шектеусіз уақыт бар, ал хост кілттеріне шабуыл уақыты қосылым күту уақытымен шектеледі (LoginGraceTime).
Ақпарат көзі: opennet.ru