Алты айлық әзірлеуден кейін OpenSSH 8.9 шығарылымы, SSH 2.0 және SFTP протоколдарымен жұмыс істеуге арналған ашық клиент пен серверді енгізу ұсынылды. Sshd жаңа нұсқасы аутентификацияланбаған кіруге мүмкіндік беретін осалдықты түзетеді. Мәселе аутентификация кодындағы бүтін сандардың толып кетуінен туындады, бірақ оны кодтағы басқа логикалық қателермен бірге ғана пайдалануға болады.
Артықшылықты бөлу режимі қосылған кезде осалдықты оның ағымдағы пішінінде пайдалану мүмкін емес, өйткені оның көрінісі артықшылықтарды бөлуді бақылау кодында орындалатын бөлек тексерулер арқылы бұғатталған. Артықшылықтарды бөлу режимі әдепкі бойынша 2002 жылдан бастап OpenSSH 3.2.2 нұсқасынан бастап қосылған және 7.5 жылы жарияланған OpenSSH 2017 шығарылымынан бері міндетті болып табылады. Бұған қоса, OpenSSH 6.5 (2014) шығарылымынан басталатын портативті нұсқаларында осалдық бүтін сандардың толып кетуінен қорғау жалауларын қосу арқылы компиляция арқылы блокталады.
Басқа өзгерістер:
- sshd ішіндегі OpenSSH портативті нұсқасы MD5 алгоритмі арқылы құпия сөздерді хэштеу үшін жергілікті қолдауды алып тастады (libxcrypt сияқты сыртқы кітапханалармен байланыстыруды қайтаруға мүмкіндік береді).
- ssh, sshd, ssh-add және ssh-agent ssh-агентке қосылған кілттерді тасымалдауды және пайдалануды шектеуге арналған ішкі жүйені жүзеге асырады. Ішкі жүйе кілттерді ssh-агентте қалай және қайда қолдануға болатынын анықтайтын ережелерді орнатуға мүмкіндік береді. Мысалы, кез келген пайдаланушы scylla.example.org хостына, пайдаланушы cetus.example.org хостына және medea пайдаланушы charybdis.example.org хостына scylla.example.org аралық хост арқылы қайта бағыттау арқылы қосылғанда аутентификация үшін ғана пайдалануға болатын кілтті қосу үшін, сіз келесі пәрменді пайдалана аласыз: - $d-shh- "perseus@cetus.example.org" \ -h "scylla.example.org" \ -h "scylla.example.org>medea@charybdis.example.org" \ ~/.ssh/id_ed25519
- Ssh және sshd жүйелерінде кванттық компьютерлердегі қатал күшке төзімді гибридті "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime) алгоритмі әдепкі бойынша KexAlgorithms тізіміне қосылды, ол кілттердің алмасу ретін анықтайтын choos. OpenSSH 8.9 нұсқасында бұл келіссөз әдісі ECDH және DH әдістері арасында қосылды, бірақ оны келесі шығарылымда әдепкі бойынша пайдалану жоспарлануда.
- ssh-keygen, ssh және ssh-агент биометриялық аутентификацияға арналған кілттерді қоса, құрылғыны тексеру үшін пайдаланылатын FIDO таңбалауыш кілттерін өңдеуді жақсартты.
- Рұқсат етілген атаулар тізімі файлындағы пайдаланушы атын тексеру үшін ssh-keygen файлына "ssh-keygen -Y match-principals" пәрмені қосылды.
- ssh-add және ssh-agent PIN кодымен қорғалған FIDO кілттерін ssh-агентке қосу мүмкіндігін береді (PIN сұрауы аутентификация кезінде көрсетіледі).
- ssh-keygen қолтаңбаны генерациялау кезінде хэштеу алгоритмін (sha512 немесе sha256) таңдауға мүмкіндік береді.
- Ssh және sshd жүйелерінде өнімділікті жақсарту үшін желі деректері стекке аралық буферлеуді айналып өтіп, кіріс пакеттерінің буферіне тікелей оқылады. Алынған деректерді арна буферіне тікелей орналастыру дәл осылай жүзеге асырылады.
- ssh ішінде PubkeyAuthentication директивасы қолданылатын протокол кеңейтімін таңдау мүмкіндігін қамтамасыз ету үшін қолдау көрсетілетін параметрлер тізімін (иә|жоқ|байланысты|хостпен байланысты) кеңейтті.
Болашақ шығарылымда scp утилитасы әдепкі бойынша SFTP-ге ауысып, ескі SCP/RCP хаттамасын ауыстыруды жоспарлап отыр. SFTP болжамды атауларды өңдеу әдістерін пайдаланады және басқа хосттағы қабық арқылы файл атауларындағы глоб үлгілерін қауіпсіздікке бейім өңдеуден аулақ болады. Атап айтқанда, SCP және RCP пайдаланған кезде, сервер клиентке қай файлдар мен каталогтарды жіберу керектігін шешеді, ал клиент тек қайтарылған нысан атауларының дұрыстығын тексереді. Бұл клиент жағында тиісті тексерулер жүргізілмеген жағдайда қауіпсіздіктің бұзылуына мүмкіндік береді. сервер Сұралғаннан басқа файл атауларын тасымалдау. SFTP протоколында бұл мәселелер жоқ, бірақ ол "~/" сияқты арнайы жолдарды кеңейтуді қолдамайды. Бұл айырмашылықты жою үшін SFTP серверін іске асырудың алдыңғы OpenSSH нұсқасында ~/ және ~user/ жолдарын кеңейтуге арналған жаңа SFTP хаттама кеңейтімі ұсынылды.
Ақпарат көзі: opennet.ru
