ការចេញផ្សាយ OpenSSH 8.3 ជាមួយនឹងការជួសជុលភាពងាយរងគ្រោះ scp

បន្ទាប់ពីបីខែនៃការអភិវឌ្ឍន៍ បង្ហាញ ការដោះលែង អូផឹនស៊ូស៊ី ៧.៦ការអនុវត្តម៉ាស៊ីនភ្ញៀវបើកចំហ និងម៉ាស៊ីនមេសម្រាប់ធ្វើការតាមរយៈពិធីការ SSH 2.0 និង SFTP ។

ការចេញផ្សាយថ្មីបន្ថែមការការពារប្រឆាំងនឹងការវាយប្រហារ scp ដែលអនុញ្ញាតឱ្យម៉ាស៊ីនមេឆ្លងកាត់ឈ្មោះឯកសារផ្សេងទៀតជាងការស្នើសុំ (ផ្ទុយទៅនឹង ភាពងាយរងគ្រោះពីមុនការវាយប្រហារមិនធ្វើឱ្យវាអាចផ្លាស់ប្តូរថតដែលបានជ្រើសរើសដោយអ្នកប្រើប្រាស់ ឬរបាំង glob) ។ សូមចាំថានៅក្នុង SCP ម៉ាស៊ីនមេសម្រេចចិត្តថាឯកសារ និងថតឯកសារណាដែលត្រូវផ្ញើទៅកាន់ម៉ាស៊ីនភ្ញៀវ ហើយម៉ាស៊ីនភ្ញៀវពិនិត្យតែភាពត្រឹមត្រូវនៃឈ្មោះវត្ថុដែលបានត្រឡប់មកវិញប៉ុណ្ណោះ។ ខ្លឹមសារនៃបញ្ហាដែលបានកំណត់អត្តសញ្ញាណគឺថាប្រសិនបើការហៅប្រព័ន្ធ utims បរាជ័យ នោះខ្លឹមសារនៃឯកសារត្រូវបានបកស្រាយថាជាទិន្នន័យមេតារបស់ឯកសារ។

លក្ខណៈពិសេសនេះ នៅពេលភ្ជាប់ទៅម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ អាចត្រូវបានប្រើដើម្បីរក្សាទុកឈ្មោះឯកសារផ្សេងទៀត និងមាតិកាផ្សេងទៀតនៅក្នុង FS របស់អ្នកប្រើ នៅពេលចម្លងដោយប្រើ scp ក្នុងការកំណត់ដែលនាំឱ្យបរាជ័យនៅពេលហៅ utims (ឧទាហរណ៍ នៅពេលដែល utims ត្រូវបានហាមឃាត់ដោយ គោលការណ៍ SELinux ឬតម្រងការហៅតាមប្រព័ន្ធ) ។ លទ្ធភាពនៃការវាយប្រហារពិតប្រាកដត្រូវបានប៉ាន់ប្រមាណថាមានតិចតួច ចាប់តាំងពីក្នុងការកំណត់ធម្មតា ការហៅ utims មិនបរាជ័យ។ លើសពីនេះ ការវាយប្រហារមិនត្រូវបានគេកត់សម្គាល់នោះទេ - នៅពេលហៅទៅ scp កំហុសក្នុងការផ្ទេរទិន្នន័យត្រូវបានបង្ហាញ។

ការផ្លាស់ប្តូរទូទៅ៖

• នៅក្នុង sftp ដំណើរការនៃអាគុយម៉ង់ “-1” ត្រូវបានបញ្ឈប់ ស្រដៀងទៅនឹង ssh និង scp ដែលត្រូវបានទទួលយកពីមុន ប៉ុន្តែមិនអើពើ។
• នៅក្នុង sshd នៅពេលប្រើ IgnoreRhosts ឥឡូវនេះមានជម្រើសបី៖ "បាទ" - មិនអើពើ rhosts/shosts "ទេ" - គោរព rhosts/shosts និង "shosts-only" - អនុញ្ញាត ".shosts" ប៉ុន្តែបិទ ".rhosts";
• ឥឡូវនេះ Ssh គាំទ្រការជំនួស % TOKEN នៅក្នុងការកំណត់ LocalFoward និង RemoteForward ដែលប្រើដើម្បីប្តូរទិសរន្ធ Unix ។
• អនុញ្ញាតឱ្យផ្ទុកសោសាធារណៈពីឯកសារដែលមិនបានអ៊ិនគ្រីបដោយប្រើសោឯកជន ប្រសិនបើមិនមានឯកសារដាច់ដោយឡែកជាមួយសោសាធារណៈ។
• ប្រសិនបើ libcrypto មាននៅក្នុងប្រព័ន្ធនោះ ឥឡូវនេះ ssh និង sshd ប្រើការអនុវត្តក្បួនដោះស្រាយ chacha20 ពីបណ្ណាល័យនេះ ជំនួសឱ្យការអនុវត្តចល័តដែលភ្ជាប់មកជាមួយ ដែលយឺតយ៉ាវក្នុងការអនុវត្ត។
• បានអនុវត្តសមត្ថភាពក្នុងការបោះចោលមាតិកានៃបញ្ជីប្រព័ន្ធគោលពីរនៃវិញ្ញាបនបត្រដែលបានដកហូតនៅពេលប្រតិបត្តិពាក្យបញ្ជា "ssh-keygen -lQf /path";
• កំណែចល័តអនុវត្តនិយមន័យនៃប្រព័ន្ធដែលផ្តល់សញ្ញាជាមួយជម្រើស SA_RESTART រំខានដល់ប្រតិបត្តិការជ្រើសរើស។
• ដោះស្រាយបញ្ហាជាមួយនឹងការជួបប្រជុំគ្នានៅលើប្រព័ន្ធ HP/UX និង AIX;
• បានជួសជុលបញ្ហាជាមួយនឹងការកសាងប្រអប់ខ្សាច់ seccomp នៅលើការកំណត់រចនាសម្ព័ន្ធលីនុចមួយចំនួន។
• ការរកឃើញបណ្ណាល័យ libfido2 ប្រសើរឡើង និងដោះស្រាយបញ្ហាសាងសង់ដោយប្រើជម្រើស "--with-security-key-builtin" ។

អ្នកអភិវឌ្ឍន៍ OpenSSH ក៏បានព្រមានជាថ្មីម្តងទៀតអំពីការរលាយនៃក្បួនដោះស្រាយដែលជិតមកដល់ដោយប្រើសញ្ញា SHA-1 ដោយសារ ការផ្សព្វផ្សាយ ប្រសិទ្ធភាពនៃការវាយប្រហារដោយការប៉ះទង្គិចជាមួយបុព្វបទដែលបានផ្តល់ឱ្យ (តម្លៃនៃការជ្រើសរើសការប៉ះទង្គិចត្រូវបានប៉ាន់ស្មានប្រហែល 45 ពាន់ដុល្លារ) ។ នៅក្នុងការចេញផ្សាយនាពេលខាងមុខ ពួកគេមានគម្រោងបិទតាមលំនាំដើម សមត្ថភាពក្នុងការប្រើក្បួនដោះស្រាយហត្ថលេខាឌីជីថលសាធារណៈ "ssh-rsa" ដែលត្រូវបានលើកឡើងនៅក្នុង RFC ដើមសម្រាប់ពិធីការ SSH ហើយនៅតែរីករាលដាលនៅក្នុងការអនុវត្ត (ដើម្បីសាកល្បងការប្រើប្រាស់ នៃ ssh-rsa នៅក្នុងប្រព័ន្ធរបស់អ្នក អ្នកអាចព្យាយាមភ្ជាប់តាមរយៈ ssh ជាមួយនឹងជម្រើស “-oHostKeyAlgorithms=-ssh-rsa”)។

ដើម្បីធ្វើឱ្យការផ្លាស់ប្តូរទៅជាក្បួនដោះស្រាយថ្មីនៅក្នុង OpenSSH រលូន នៅក្នុងការចេញផ្សាយនាពេលខាងមុខ ការកំណត់ UpdateHostKeys នឹងត្រូវបានបើកតាមលំនាំដើម ដែលនឹងផ្ទេរអតិថិជនដោយស្វ័យប្រវត្តិទៅក្បួនដោះស្រាយដែលអាចទុកចិត្តបានកាន់តែច្រើន។ ក្បួនដោះស្រាយដែលបានណែនាំសម្រាប់ការធ្វើចំណាកស្រុករួមមាន rsa-sha2-256/512 ផ្អែកលើ RFC8332 RSA SHA-2 (គាំទ្រតាំងពី OpenSSH 7.2 និងប្រើតាមលំនាំដើម) ssh-ed25519 (គាំទ្រតាំងពី OpenSSH 6.5) និង ecdsa-sha2-nisp256/384/521 នៅលើ RFC5656 ECDSA (គាំទ្រតាំងពី OpenSSH 5.7)។

ចាប់តាំងពីការចេញផ្សាយចុងក្រោយ "ssh-rsa" និង "diffie-hellman-group14-sha1" ត្រូវបានដកចេញពីបញ្ជី CASignatureAlgorithms ដែលកំណត់ក្បួនដោះស្រាយដែលត្រូវបានអនុញ្ញាតឱ្យចុះហត្ថលេខាលើវិញ្ញាបនបត្រថ្មីជាឌីជីថល ចាប់តាំងពីការប្រើ SHA-1 នៅក្នុងវិញ្ញាបនបត្របង្កហានិភ័យបន្ថែម។ ដោយសារតែអ្នកវាយប្រហារមានពេលវេលាគ្មានដែនកំណត់ក្នុងការស្វែងរកការប៉ះទង្គិចគ្នាសម្រាប់វិញ្ញាបនបត្រដែលមានស្រាប់ ខណៈពេលដែលពេលវេលានៃការវាយប្រហារលើ host keys ត្រូវបានកំណត់ដោយការអស់ពេលនៃការតភ្ជាប់ (LoginGraceTime) ។

ប្រភព: opennet.ru