Pēc trīs mēnešu attīstības
Jaunais laidiens pievieno aizsardzību pret scp uzbrukumiem, kas ļauj serverim nodot citus failu nosaukumus, nevis pieprasītos (pretēji
Šo līdzekli, izveidojot savienojumu ar serveri, kuru kontrolē uzbrucējs, var izmantot, lai saglabātu citus failu nosaukumus un citu saturu lietotāja FS, kad kopēšana, izmantojot scp konfigurācijās, kas izraisa kļūmi, izsaucot utimes (piemēram, ja utimes ir aizliegts SELinux politika vai sistēmas izsaukuma filtrs). Tiek lēsts, ka reālu uzbrukumu iespējamība ir minimāla, jo tipiskās konfigurācijās utimes izsaukums neizdodas. Turklāt uzbrukums nepaliek nepamanīts – zvanot scp tiek parādīta datu pārraides kļūda.
Vispārējas izmaiņas:
- Sftp argumenta “-1” apstrāde ir apturēta, līdzīgi kā ssh un scp, kas iepriekš tika pieņemti, bet tika ignorēti;
- Programmā sshd, izmantojot IgnoreRhosts, tagad ir trīs izvēles iespējas: "jā" - ignorēt rhosts/shosts, "nē" - respektēt rhosts/shosts un "shosts-only" - atļaut ".shosts", bet atspējot ".rhosts";
- Ssh tagad atbalsta %TOKEN aizstāšanu LocalFoward un RemoteForward iestatījumos, ko izmanto, lai novirzītu Unix ligzdas;
- Atļaut ielādēt publiskās atslēgas no nešifrēta faila ar privāto atslēgu, ja nav atsevišķa faila ar publisko atslēgu;
- Ja sistēmā ir libcrypto, ssh un sshd tagad izmanto chacha20 algoritma ieviešanu no šīs bibliotēkas, nevis iebūvēto portatīvo implementāciju, kas atpaliek veiktspējā;
- Ieviesta iespēja izmest atsaukto sertifikātu binārā saraksta saturu, izpildot komandu “ssh-keygen -lQf /path”;
- Pārnēsājamā versija ievieš tādu sistēmu definīcijas, kurās signāli ar opciju SA_RESTART pārtrauc select darbību;
- Atrisinātas problēmas ar montāžu uz HP/UX un AIX sistēmām;
- Novērstas problēmas ar seccomp smilškastes izveidi dažās Linux konfigurācijās;
- Uzlabota libfido2 bibliotēkas noteikšana un atrisinātas veidošanas problēmas, izmantojot opciju "--with-security-key-builtin".
OpenSSH izstrādātāji arī vēlreiz brīdināja par gaidāmo algoritmu sadalīšanos, izmantojot SHA-1 jaucējus, jo
Lai vienmērīgi pārietu uz jauniem OpenSSH algoritmiem, nākamajā laidienā pēc noklusējuma tiks iespējots iestatījums UpdateHostKeys, kas automātiski migrēs klientus uz uzticamākiem algoritmiem. Ieteicamie migrācijas algoritmi ietver rsa-sha2-256/512, pamatojoties uz RFC8332 RSA SHA-2 (tiek atbalstīts kopš OpenSSH 7.2 un tiek izmantots pēc noklusējuma), ssh-ed25519 (atbalstīts kopš OpenSSH 6.5) un ecdsa-sha2-nistp256/384. uz RFC521 ECDSA (atbalstīts kopš OpenSSH 5656).
Sākot ar pēdējo laidienu, "ssh-rsa" un "diffie-hellman-group14-sha1" ir izņemti no CASignatureAlgorithms saraksta, kas nosaka algoritmus, kas ļauj digitāli parakstīt jaunus sertifikātus, jo SHA-1 izmantošana sertifikātos rada papildu risku. tādēļ uzbrucējam ir neierobežots laiks, lai meklētu esoša sertifikāta sadursmi, savukārt uzbrukuma laiku resursdatora atslēgām ierobežo savienojuma taimauts (LoginGraceTime).
Avots: opennet.ru