PÄc seÅ”u mÄneÅ”u attÄ«stÄ«bas uzrÄdÄ«ts atbrÄ«vot OpenSSH 8.1, atvÄrta klienta un servera ievieÅ”ana darbam, izmantojot SSH 2.0 un SFTP protokolus.
ÄŖpaÅ”a uzmanÄ«ba jaunajÄ laidienÄ ir ievainojamÄ«bas novÄrÅ”anai, kas ietekmÄ ssh, sshd, ssh-add un ssh-keygen. ProblÄma ir privÄto atslÄgu parsÄÅ”anas kodÄ ar XMSS tipu un ļauj uzbrucÄjam izraisÄ«t vesela skaitļa pÄrpildÄ«Å”anu. IevainojamÄ«ba ir atzÄ«mÄta kÄ izmantojama, taÄu tÄ ir maz lietderÄ«ga, jo atbalsts XMSS atslÄgÄm ir eksperimentÄls lÄ«dzeklis, kas pÄc noklusÄjuma ir atspÄjots (pÄrnÄsÄjamajai versijai pat nav autoconf izveides opcijas, lai iespÄjotu XMSS).
GalvenÄs izmaiÅas:
Ssh, sshd un ssh-agent piebilda kods, kas neļauj atgÅ«t privÄto atslÄgu, kas atrodas RAM, sÄnu kanÄlu uzbrukumu rezultÄtÄ, piemÄram, Spoks, sabrukums, RowHammer Šø RAMBleed. PrivÄtÄs atslÄgas tagad tiek Å”ifrÄtas, kad tÄs tiek ielÄdÄtas atmiÅÄ, un atÅ”ifrÄtas tikai tad, kad tÄs tiek lietotas, pÄrÄjÄ laikÄ paliek Å”ifrÄtas. Izmantojot Å”o pieeju, lai veiksmÄ«gi atgÅ«tu privÄto atslÄgu, uzbrucÄjam vispirms ir jÄatgÅ«st nejauÅ”i Ä£enerÄta 16 KB liela starpatslÄga, ko izmanto galvenÄs atslÄgas Å”ifrÄÅ”anai, kas ir maz ticams, Åemot vÄrÄ mÅ«sdienu uzbrukumiem raksturÄ«go atkopÅ”anas kļūdu lÄ«meni;
Š ssh-keygen Pievienots eksperimentÄls atbalsts vienkÄrÅ”otai shÄmai digitÄlo parakstu izveidei un pÄrbaudei. Ciparparakstus var izveidot, izmantojot parastÄs SSH atslÄgas, kas saglabÄtas diskÄ vai ssh-agent, un pÄrbaudÄ«t, izmantojot kaut ko lÄ«dzÄ«gu Author_keys. derÄ«go atslÄgu saraksts. VÄrdtelpas informÄcija ir iebÅ«vÄta ciparparakstÄ, lai izvairÄ«tos no neskaidrÄ«bÄm, ja to izmanto dažÄdÄs jomÄs (piemÄram, e-pastam un failiem);
ssh-keygen pÄc noklusÄjuma ir pÄrslÄgts, lai izmantotu rsa-sha2-512 algoritmu, apstiprinot sertifikÄtus ar ciparparakstu, pamatojoties uz RSA atslÄgu (strÄdÄjot CA režīmÄ). Å Ädi sertifikÄti nav saderÄ«gi ar laidieniem pirms OpenSSH 7.2 (lai nodroÅ”inÄtu saderÄ«bu, algoritma tips ir jÄiznÄ«cina, piemÄram, izsaucot "ssh-keygen -t ssh-rsa -s ...");
ProgrammÄ ssh ProxyCommand izteiksme tagad atbalsta "%n" aizstÄÅ”anas paplaÅ”inÄÅ”anu (adreses joslÄ norÄdÄ«tais resursdatora nosaukums);
Ssh un sshd Å”ifrÄÅ”anas algoritmu sarakstos tagad varat izmantot rakstzÄ«mi "^", lai ievietotu noklusÄjuma algoritmus. PiemÄram, lai pievienotu ssh-ed25519 noklusÄjuma sarakstam, varat norÄdÄ«t "HostKeyAlgorithms ^ssh-ed25519";
ssh-keygen nodroÅ”ina atslÄgai pievienotÄ komentÄra izvadi, kad tiek iegÅ«ta publiskÄ atslÄga no privÄtÄs;
Pievienota iespÄja izmantot ā-vā karodziÅu ssh-keygen, veicot atslÄgas uzmeklÄÅ”anas darbÄ«bas (piemÄram, āssh-keygen -vF hostā), norÄdot, kura rezultÄtÄ tiek iegÅ«ts vizuÄls resursdatora paraksts;
Pievienota lietoÅ”anas iespÄja PKCS8 kÄ alternatÄ«vu formÄtu privÄto atslÄgu glabÄÅ”anai diskÄ. PEM formÄts joprojÄm tiek izmantots pÄc noklusÄjuma, un PKCS8 var bÅ«t noderÄ«gs, lai nodroÅ”inÄtu saderÄ«bu ar treÅ”o puÅ”u lietojumprogrammÄm.