OpenSSH 9.8 релиз, SSH 2.0 жана SFTP протоколдорун колдонуу менен иштөө үчүн кардар жана сервердин ачык ишке ашырылышы жарыяланды. Алдын ала аутентификация стадиясында түпкү артыкчылыктары менен кодду алыстан аткарууга мүмкүндүк берген өзүнчө жарыяланган критикалык кемчиликти (CVE-2024-6387) оңдоодон тышкары, жаңы версия дагы бир анча кооптуу кемчиликти оңдоп, коопсуздукту жакшыртууга багытталган бир нече олуттуу өзгөртүүлөрдү сунуштайт.
Экинчи алсыздык сизге OpenSSH 9.5ке кошулган коргоону айланып өтүүгө мүмкүндүк берет, бул киргизүүнү кайра түзүү үчүн клавиатурадагы баскычтарды басуулардын ортосундагы кечигүүлөрдү талдоочу каптал каналдардын чабуулдарынан. Алсыздык реалдуу баскычтар басылганда жөнөтүлгөн пакеттерден ойдон чыгарылган баскычтарды имитациялоо аркылуу фондо активдүүлүктү жараткан пакеттерди айырмалоого мүмкүндүк берет, бул ssh трафиктеги интерактивдүү киргизүүнүн өзгөчөлүктөрүн жашыруу механизминин натыйжалуулугун төмөндөтөт. Баскычтарды басуу маалыматтары терүү учурунда баскычтарды басуулардын ортосундагы кечигүүлөрдү талдоо аркылуу киргизүүнү кайра жаратуучу чабуулдарды иштетет, алар клавиатурадагы баскычтардын жайгашуусуна жараша болот (мисалы, “F” тамгасын тергенде жооп “Q” же “ тергенге караганда тезирээк болот. X”, ошондуктан басуу азыраак манжа кыймылын талап кылат).
Мындан тышкары, реалдуу жана ойдон чыгарылган чыкылдатуулар менен пакеттерди жөнөтүү үчүн ишке ашырылган алгоритм каптал-канал чабуулдарынан коргоонун башка ыкмасынын ишенимдүүлүгүн азайтканы белгилүү болду. Чыккандан бери
OpenSSH 2.9.9 сервери, мисалы, su же sudoдо сырсөздөрдү киргизүүдө колдонулган жаңыртуу өчүрүү режиминде консолго киргизүү үчүн жасалма чыкылдатуулар менен пакеттерди жөнөттү. Ойдон чыгарылган пакеттерди жөнөтүүнүн жаңы логикасы трафиктин пассивдүү анализи учурунда өзүнчө талдоо үчүн жаңырык өчүрүү режиминде реалдуу чыкылдатуулары бар пакеттерди тандоого мүмкүндүк берди. Ошол эле учурда, чыкылдатуу убактысы жөнүндө маалыматтын тактыгы чектелген, анткени тергенден кийин пакеттер дароо эмес, белгиленген аралыкта (демейки боюнча 20 мс) жөнөтүлөт.
OpenSSH 9.8деги башка өзгөрүүлөр:
- Түзүү стадиясында DSA алгоритминин негизинде санариптик кол тамгаларды колдоо демейки боюнча өчүрүлгөн. DSA ишке ашыруу 2025-жылдын башында код базасынан алынып салынат. Жок кылуунун себеби катары DSAдагы коргоо деңгээли заманбап талаптарга жооп бербегени айтылат. Кооптуу DSA алгоритмин сактоону улантуунун баасы буга татыбайт жана аны алып салуу башка SSH ишке ашырууларында жана криптографиялык китепканаларда DSA колдоосун жокко чыгарууга түрткү берет.
- sshd менен көп сандаган туташууларды талап кылган эксплуатациялык ыкмалардан андан ары коргоо үчүн, жаңы коргоо режими ишке ашырылып, демейки шартта иштетилген. Бул режим ошондой эле автоматташтырылган сырсөздү божомолдоо чабуулдарын бөгөттөөгө жардам берет, мында боттор ар кандай типтүү айкалыштарды колдонуп, колдонуучунун сырсөзүн божомолдоого аракет кылышат. Бул коргоо бөгөттөө аркылуу ишке ашырылат. IP даректери, ал көптөгөн ийгиликсиз туташуу аракеттерин жазып алат, sshd бала процесстеринин аяктоо абалын көзөмөлдөйт, аутентификация ишке ашпай калган же процесс бузулуудан улам анормалдуу түрдө токтотулган кырдаалдарды аныктайт. Белгилүү бир босогодон ашып кеткенде, ал көйгөйлүү IP даректерден же субтармактардан келген суроо-талаптарды бөгөттөөнү баштайт. PerSourcePenalties, PerSourceNetBlockSize жана PerSourcePenaltyExemptList параметрлери бөгөттөө босогосун, бөгөттөө үчүн субтармак маскасын жана четтетүү тизмесин конфигурациялоо үчүн жеткиликтүү.
- sshd бир нече өзүнчө аткарылуучу файлдарга бөлүнгөн. sshd-сессия процесси sshdден сеансты иштетүүгө байланыштуу тапшырмаларды аткаруу үчүн бөлүнгөн. sshd процесси тармак байланыштарын кабыл алуу, конфигурацияларды текшерүү, хост ачкычтарын жүктөө жана MaxStartups параметрине ылайык баштоо процесстерин башкаруу үчүн жооптуу функцияларды сактап калат. Ошентип, sshd аткарылуучу файлы жаңы тармак туташуусун кабыл алуу жана сессияны башкаруу үчүн sshd-сессиясын баштоо үчүн талап кылынган минималдуу функцияларды камтыйт.
- Журналга жазылган кээ бир ката билдирүүлөрүнүн тексти өзгөрдү. Тактап айтканда, азыр бир катар билдирүүлөр "sshd" эмес, "sshd-session" процесси деген ат менен жөнөтүлөт.
- ssh-keyscan утилитасы эми протоколдун версиясын жана хосттун аталышын STDERR ордуна стандарттык агымга чыгарат. Чыгууну өчүрүү үчүн “-q” опциясы сунушталат.
- Ssh'де, HostkeyAlgorithms директивасы аркылуу хост ачкычынын сертификатын колдонуудан жөнөкөй хост ачкычтарын колдонууга кайтарууну өчүрүүгө болот.
- sshd портативдик версиясы PAM кызматынын атын аныктоо үчүн argv[0] маанисин колдонбой калды. PAM кызматынын атын коюу үчүн sshd_configге жаңы “PAMServiceName” директивасы кошулду, ал демейки боюнча “sshd” деп коюлган.
- sshd портативдик версиясы автоматтык түрдө түзүлгөн файлдардын (конфигурациялоо скрипт, config.h.in ж.б.) Git бутагына релиздер менен сакталышын камсыздайт (мисалы, V_9_8), бул санарип кол коюлган tarдын курамын синхрондоштурууга мүмкүндүк берди. Гиттеги архивдер жана филиалдар.
- Ssh жана ssh-агенттин көчмө версиясы режим жөндөөлөрүн камсыз кылат
WAYLAND_DISPLAY чөйрө өзгөрмөсүнүн катышуусунда SSH_ASKPASS, X11 үчүн бул DISPLAY чөйрө өзгөрмөсүнүн катышуусунда жасалгандай. - sshd портативдүү версиясы libsystemd китепканасын чакырбаган өз алдынча кодду колдонуу менен угуу тармагынын розеткасы түзүлгөндө же кайра иштетилгенде systemdге эскертмелерди жөнөтүү үчүн колдоону кошот.
Source: opennet.ru
