Алты айлык иштеп чыгуудан кийин, SSH 8.9 жана SFTP протоколдорунун үстүндө иштөө үчүн ачык кардар жана серверди ишке ашыруу OpenSSH 2.0 релизинин бет ачары болду. Sshd жаңы версиясы аутентификацияланбаган кирүү мүмкүнчүлүгүн бере турган кемчиликти оңдойт. Көйгөй аныктыгын текшерүү кодундагы бүтүн сандардын ашып кетишинен келип чыгат, бирок аны коддогу башка логикалык каталар менен айкалыштырып гана колдонсо болот.
Учурдагы түрдө, артыкчылыктарды бөлүү режими иштетилгенде, алсыздыкты пайдалануу мүмкүн эмес, анткени анын көрүнүшү артыкчылыктарды бөлүүгө көз салуу кодунда аткарылган өзүнчө текшерүүлөр менен бөгөттөлгөн. Артыкчылыктарды бөлүү режими демейки боюнча OpenSSH 2002 3.2.2-жылдан бери иштетилген жана 7.5-жылы жарыяланган OpenSSH 2017 чыккандан бери милдеттүү болуп калды. Кошумчалай кетсек, OpenSSHтин 6.5 (2014) релизинен башталган портативдик версияларында бүтүн сандардын ашып кетишинен коргоо желектерин камтыган компиляция аркылуу аялуу бөгөттөлгөн.
Башка өзгөртүүлөр:
- sshd ичиндеги OpenSSH портативдик версиясы MD5 алгоритмин колдонуу менен сырсөздөрдү хэширлөө үчүн жергиликтүү колдоону алып салды (libxcrypt сыяктуу тышкы китепканалар менен байланышты кайра кайтарууга мүмкүндүк берет).
- ssh, sshd, ssh-add жана ssh-agent ssh-агентке кошулган ачкычтарды жөнөтүүнү жана колдонууну чектөө үчүн подсистеманы ишке ашырат. Подсистема ssh-агентте ачкычтарды кантип жана кайда колдонууну аныктоочу эрежелерди коюуга мүмкүндүк берет. Мисалы, scylla.example.org хостуна туташкан каалаган колдонуучунун аныктыгын текшерүү үчүн гана колдонула турган ачкычты кошуу үчүн, колдонуучу cetus.example.org хостуна жана medea колдонуучусу charybdis.example.org хостуна perseus. scylla.example.org аралык хост аркылуу кайра багыттоо менен, төмөнкү буйрукту колдоно аласыз: $ ssh-add -h "[электрондук почта корголгон]» \ -h «scylla.example.org» \ -h «scylla.example.org>[электрондук почта корголгон]» \ ~/.ssh/id_ed25519
- ssh жана sshdде гибриддик алгоритм демейки боюнча KexAlgorithms тизмесине кошулган, ал ачкыч алмашуу ыкмаларын тандоо тартибин аныктайт.[электрондук почта корголгон]"(ECDH/x25519 + NTRU Prime), кванттык компьютерлерде тандоого туруктуу. OpenSSH 8.9да бул сүйлөшүү ыкмасы ECDH жана DH методдорунун ортосунда кошулган, бирок аны кийинки чыгарылышта демейки боюнча иштетүү пландаштырылууда.
- ssh-keygen, ssh жана ssh-agent аппаратты текшерүү үчүн колдонулган FIDO токен ачкычтарын, анын ичинде биометрикалык аутентификация үчүн ачкычтарды иштетүүнү жакшыртышты.
- "ssh-keygen -Y match-principals" буйругу ssh-keygenге уруксат берилген аталыштар тизмеси файлындагы колдонуучу аттарын текшерүү үчүн кошулду.
- ssh-add жана ssh-agent PIN-код менен корголгон FIDO ачкычтарын ssh-агентке кошуу мүмкүнчүлүгүн камсыздайт (PIN сурамы аутентификация учурунда көрсөтүлөт).
- ssh-keygen кол тамганы түзүү учурунда хэштөө алгоритмин (sha512 же sha256) тандоого мүмкүндүк берет.
- ssh жана sshdде, иштөөнү жакшыртуу үчүн, тармактын маалыматтары стектеги аралык буферлөөдөн өтүп, келген пакеттердин буферине түз окулат. Кабыл алынган маалыматтарды каналдын буферине түз жайгаштыруу ушундай эле жол менен ишке ашырылат.
- sshде, PubkeyAuthentication директивасы колдоого алынган параметрлердин тизмесин кеңейтти (ооба|жок|байланыштуу|хост-байланыштуу) колдонуу үчүн протокол кеңейтүүсүн тандоо мүмкүнчүлүгүн камсыз кылуу.
Келечектеги чыгарылышта биз эски SCP/RCP протоколунун ордуна SFTP колдонуу үчүн scp утилитасынын демейкисин өзгөртүүнү пландап жатабыз. SFTP алдын ала айтууга боло турган ат менен иштөө ыкмаларын колдонот жана башка хост тарабындагы файл аталыштарындагы глоб үлгүлөрүн кабыкча иштетүүнү колдонбойт, бул коопсуздук көйгөйлөрүн жаратат. Атап айтканда, SCP жана RCP колдонууда, сервер кардарга кайсы файлдарды жана каталогдорду жөнөтүүнү чечет, ал эми кардар кайтарылган объекттин аталыштарынын тууралыгын гана текшерет, бул кардар тараптан тийиштүү текшерүүлөр болбогондо, серверден суралгандан айырмаланган башка файл аталыштарын өткөрүү үчүн. SFTP протоколунда бул көйгөйлөр жок, бирок "~/" сыяктуу атайын жолдорду кеңейтүүнү колдобойт. Бул айырмачылыкты жоюу үчүн, OpenSSHтин мурунку релизинде SFTP серверин ишке ашырууда ~/ жана ~user/ жолдоруна жаңы SFTP протоколунун кеңейтүүсү киргизилген.
Source: opennet.ru