Бес айлық әзірлеуден кейін OpenSSH 8.5 шығарылымы, SSH 2.0 және SFTP протоколдарымен жұмыс істеуге арналған клиент пен сервердің ашық іске асырылуы ұсынылды.
OpenSSH әзірлеушілері берілген префикспен (соқтығысты таңдау құны шамамен $1 мыңға бағаланады) соқтығысты шабуылдардың тиімділігінің жоғарылауына байланысты SHA-50 хэштерін қолданатын алгоритмдердің жұмыстан шығарылуы туралы еске салды. Алдағы шығарылымдардың бірінде олар SSH хаттамасы үшін бастапқы RFC-де айтылған және іс жүзінде кеңінен таралған «ssh-rsa» ашық кілтті цифрлық қолтаңба алгоритмін пайдалану мүмкіндігін әдепкі бойынша өшіруді жоспарлап отыр.
Жүйелеріңізде ssh-rsa пайдалануын тексеру үшін “-oHostKeyAlgorithms=-ssh-rsa” опциясымен ssh арқылы қосылуға болады. Сонымен қатар, әдепкі бойынша «ssh-rsa» цифрлық қолтаңбаларын өшіру RSA кілттерін пайдаланудан толық бас тартуды білдірмейді, өйткені SHA-1-ден басқа, SSH хаттамасы хэшті есептеудің басқа алгоритмдерін пайдалануға мүмкіндік береді. Атап айтқанда, «ssh-rsa»-дан басқа, «rsa-sha2-256» (RSA/SHA256) және «rsa-sha2-512» (RSA/SHA512) бумаларын пайдалану мүмкіндігі сақталады.
Жаңа алгоритмдерге өтуді тегістеу үшін OpenSSH 8.5 жүйесінде әдепкі бойынша қосылған UpdateHostKeys параметрі бар, бұл клиенттерге сенімдірек алгоритмдерге автоматты түрде ауысуға мүмкіндік береді. Бұл параметрді пайдалану арқылы арнайы протокол кеңейтімі қосылады «[электрондық пошта қорғалған]", серверге аутентификациядан кейін клиентке барлық қолжетімді хост кілттері туралы хабарлауға мүмкіндік береді. Клиент бұл кілттерді ~/.ssh/known_hosts файлында көрсете алады, бұл хост кілттерін жаңартуға мүмкіндік береді және сервердегі кілттерді өзгертуді жеңілдетеді.
UpdateHostKeys пайдалану болашақта жойылуы мүмкін бірнеше ескертулермен шектеледі: кілтке UserKnownHostsFile файлында сілтеме жасалуы және GlobalKnownHostsFile файлында пайдаланылмауы керек; кілт тек бір атаумен болуы керек; хост кілтінің сертификатын пайдаланбау керек; белгілі_хосттарда хост аты бойынша маскалар пайдаланылмауы керек; VerifyHostKeyDNS параметрі өшірілген болуы керек; UserKnownHostsFile параметрі белсенді болуы керек.
Тасымалдау үшін ұсынылған алгоритмдерге RFC2 RSA SHA-256 негізіндегі rsa-sha512-8332/2 (OpenSSH 7.2 нұсқасынан бері қолдау көрсетіледі және әдепкі бойынша пайдаланылады), ssh-ed25519 (OpenSSH 6.5 нұсқасынан бері қолдау көрсетіледі) және ecdsa-sha2-nistp256/384 негізіндегі алгоритмдер кіреді. RFC521 ECDSA (OpenSSH 5656 нұсқасынан бері қолдау көрсетіледі).
Басқа өзгерістер:
- Қауіпсіздік өзгерістері:
- Босатылған жад аймағын (қос бос) қайта босату нәтижесінде туындаған осалдық ssh-агентінде түзетілді. Мәселе OpenSSH 8.2 шығарылымынан бері орын алған және шабуылдаушы жергілікті жүйедегі ssh-агент ұяшығына қол жеткізе алатын болса, оны пайдалану мүмкін. Эксплуатацияны қиындататын нәрсе - розеткаға тек root және бастапқы пайдаланушы қол жеткізе алады. Ең ықтимал шабуыл сценарийі агент шабуылдаушы басқаратын тіркелгіге немесе шабуылдаушы түбірлік қатынасы бар хостқа қайта бағытталады.
- sshd пайдаланушы аты бар өте үлкен параметрлерді PAM ішкі жүйесіне жіберуден қорғауды қосты, бұл PAM (Pluggable Authentication Module) жүйелік модульдеріндегі осалдықтарды блоктауға мүмкіндік береді. Мысалы, өзгерту Solaris жүйесінде (CVE-2020-14871) жақында табылған түбірлік осалдықты пайдалану үшін вектор ретінде sshd пайдаланылуын болдырмайды.
- Ықтимал үйлесімділік өзгерістерін бұзу:
- Ssh және sshd-де кванттық компьютерде болжауға төзімді эксперименттік кілт алмасу әдісі қайта жасалды. Кванттық компьютерлер натурал санды жай факторларға ыдырату мәселесін шешуде түбегейлі жылдамырақ, бұл қазіргі асимметриялық шифрлау алгоритмдерінің негізінде жатыр және классикалық процессорларда тиімді шешілмейді. Қолданылатын әдіс посткванттық криптожүйелер үшін әзірленген NTRU Prime алгоритміне және X25519 эллиптикалық қисық кілт алмасу әдісіне негізделген. Орнына [электрондық пошта қорғалған] әдіс енді анықталды [электрондық пошта қорғалған] (sntrup4591761 алгоритмі sntrup761 ауыстырылды).
- ssh және sshd жүйелерінде қолдау көрсетілетін цифрлық қолтаңба алгоритмдерінің жариялану реті өзгертілді. ED25519 енді ECDSA орнына бірінші болып ұсынылады.
- ssh және sshd жүйелерінде интерактивті сеанстар үшін қызмет көрсету параметрлерінің TOS/DSCP сапасын орнату TCP қосылымын орнату алдында орындалады.
- ssh және sshd жүйелерінде шифрды қолдау тоқтатылды [электрондық пошта қорғалған], ол aes256-cbc бірдей және RFC-4253 бекітілгенге дейін қолданылған.
- Әдепкі бойынша CheckHostIP параметрі өшірілген, оның пайдасы шамалы, бірақ оны пайдалану жүктеме балансының артындағы хосттар үшін кілттердің айналуын айтарлықтай қиындатады.
- PerSourceMaxStartups және PerSourceNetBlockSize параметрлері клиент мекенжайы негізінде өңдегіштерді іске қосу қарқындылығын шектеу үшін sshd файлына қосылды. Бұл параметрлер жалпы MaxStartups параметрімен салыстырғанда процесті іске қосу шегін дәлірек басқаруға мүмкіндік береді.
- ssh және sshd қолданбаларына жаңа LogVerbose параметрі қосылды, ол шаблондар, функциялар және файлдар бойынша сүзгілеу мүмкіндігімен журналға шығарылған күйін келтіру ақпаратының деңгейін күштеп көтеруге мүмкіндік береді.
- ssh жүйесінде жаңа хост кілтін қабылдаған кезде кілтпен байланысты барлық хост атаулары мен IP мекенжайлары көрсетіледі.
- ssh UserKnownHostsFile=none опциясына хост кілттерін анықтау кезінде белгілі_хосттар файлын пайдалануды өшіруге мүмкіндік береді.
- KnownHostsCommand параметрі ssh үшін ssh_config параметріне қосылды, бұл белгілі пәрменнің шығысынан белгілі_хосттар деректерін алуға мүмкіндік береді.
- SOCKS көмегімен RemoteForward опциясын пайдаланған кезде тағайындалған орынды шектеуге мүмкіндік беру үшін ssh үшін ssh_config параметріне PermitRemoteOpen опциясы қосылды.
- FIDO кілттеріне арналған ssh жүйесінде қате PIN коды себебінен цифрлық қолтаңба жұмысы сәтсіз болған жағдайда және пайдаланушыдан PIN коды сұралмаған жағдайда (мысалы, дұрыс биометриялық деректерді алу мүмкін болмаған кезде және құрылғы PIN кодын қолмен енгізуге қайта оралды).
- sshd Linux жүйесінде seccomp-bpf негізіндегі процесті оқшаулау механизміне қосымша жүйелік қоңырауларға қолдауды қосады.
- contrib/ssh-copy-id утилитасы жаңартылды.
Ақпарат көзі: opennet.ru