Taorian'ny enim-bolana nisian'ny fampandrosoana, dia naseho ny famoahana ny OpenSSH 8.9, mpanjifa misokatra sy fampiharana mpizara miasa amin'ny protocols SSH 2.0 sy SFTP. Ny dikan-teny vaovao an'ny sshd dia manamboatra vulnerability izay mety hamela fidirana tsy voamarina. Ny olana dia vokatry ny fihoaran'ny integer ao amin'ny kaody fanamarinana, saingy tsy azo trandrahana afa-tsy miaraka amin'ny hadisoana lojika hafa ao amin'ny kaody.
Amin'ny endriny ankehitriny, tsy azo trandrahana ilay vulnerability rehefa alefa ny fomba fisarahana amin'ny tombontsoa, satria voasakana ny fisarahana amin'ny alalan'ny fisavana manokana atao ao amin'ny kaody fanaraha-maso fisarahan'ny tombontsoa. Ny fomba fisarahan'ny tombontsoa dia navela tamin'ny alàlan'ny default nanomboka tamin'ny 2002 hatramin'ny OpenSSH 3.2.2, ary tsy maintsy natao hatramin'ny famoahana ny OpenSSH 7.5 navoaka tamin'ny 2017. Ho fanampin'izany, amin'ny dikan-teny portable an'ny OpenSSH manomboka amin'ny famoahana 6.5 (2014), ny vulnerability dia voasakana amin'ny fanangonana miaraka amin'ny fampidirana ireo sainam-piarovana mihoa-pampana integer.
Fanovana hafa:
- Ny dikan-tsarimihetsika OpenSSH amin'ny sshd dia nanaisotra ny fanohanan'ny teratany amin'ny tenimiafina amin'ny fampiasana ny algorithm MD5 (mamela ny fampifandraisana amin'ny tranomboky ivelany toa ny libxcrypt hiverina).
- ssh, sshd, ssh-add, ary ssh-agent dia mametraka subsystem mba hamerana ny fandefasana sy fampiasana ny fanalahidy ampiana amin'ny ssh-agent. Ny subsystem dia ahafahanao mametraka fitsipika izay mamaritra ny fomba sy ny toerana azo ampiasaina amin'ny ssh-agent. Ohatra, mba hanampiana fanalahidy izay tsy azo ampiasaina afa-tsy hanamarina izay mpampiasa mifandray amin'ny mpampiantrano scylla.example.org, ny mpampiasa perseus amin'ny mpampiantrano cetus.example.org, ary ny mpampiasa medea amin'ny mpampiantrano charybdis.example.org miaraka amin'ny famerenana amin'ny alàlan'ny mpampiantrano mpanelanelana scylla.example.org, azonao ampiasaina ity baiko manaraka ity: $ ssh-add -h "[email voaaro]» \ -h «scylla.example.org» \ -h «scylla.example.org>[email voaaro]» \ ~/.ssh/id_ed25519
- Ao amin'ny ssh sy sshd, ny algorithm hybrid dia nampidirina amin'ny alàlan'ny default amin'ny lisitry ny KexAlgorithms, izay mamaritra ny filaharan'ny fomba fifanakalozam-bola.[email voaaro]"(ECDH/x25519 + NTRU Prime), mahatohitra ny fifantenana amin'ny solosaina quantum. Ao amin'ny OpenSSH 8.9, ity fomba fifampiraharahana ity dia nampiana teo anelanelan'ny fomba ECDH sy DH, saingy nokasaina ho alefa amin'ny alàlan'ny default amin'ny famoahana manaraka.
- ssh-keygen, ssh, ary ssh-agent dia nanatsara ny fitantanana ny lakilen'ny mari-pamantarana FIDO ampiasaina amin'ny fanamarinana ny fitaovana, anisan'izany ny fanalahidy ho an'ny fanamarinana biometrika.
- Nampiana baiko "ssh-keygen -Y match-principals" ao amin'ny ssh-keygen hanamarina ny solonanarana ao amin'ny rakitra nomena anarana.
- ssh-add sy ssh-agent dia manome fahafahana manampy ny fanalahidy FIDO voaaro amin'ny kaody PIN ho an'ny ssh-agent (ny fangatahana PIN dia aseho amin'ny fotoana authentication).
- ssh-keygen dia mamela ny safidy hashing algorithm (sha512 na sha256) mandritra ny famokarana sonia.
- Ao amin'ny ssh sy sshd, mba hanatsarana ny fampandehanana, ny angon-drakitra tambajotra dia vakiana mivantana ao amin'ny buffer amin'ny fonosana miditra, miala amin'ny buffering manelanelana amin'ny stack. Ny fametrahana mivantana ny angon-drakitra voaray ao anaty buffer fantsona dia ampiharina amin'ny fomba mitovy.
- Ao amin'ny ssh, ny torolàlana PubkeyAuthentication dia nanitatra ny lisitr'ireo mari-pamantarana tohanana (eny | tsia | tsy voafehy | mpampiantrano) mba hanomezana fahafahana misafidy ny fanitarana protocol ampiasaina.
Amin'ny famoahana ho avy, mikasa ny hanova ny default amin'ny fampiasa scp izahay hampiasa ny SFTP fa tsy ny protocol SCP/RCP lova. Ny SFTP dia mampiasa fomba fitantanana anarana azo vinaniana kokoa ary tsy mampiasa akorandriaka amin'ny lamina glob amin'ny anaran'ny rakitra amin'ny ilany hafa, izay miteraka olana amin'ny fiarovana. Indrindra indrindra, rehefa mampiasa SCP sy RCP, ny mpizara dia manapa-kevitra hoe iza amin'ireo rakitra sy lahatahiry halefa any amin'ny mpanjifa, ary ny mpanjifa ihany no manamarina ny fahamarinan'ny anaran'ny zavatra naverina, izay, raha tsy misy ny fisavana mety amin'ny lafiny mpanjifa, dia mamela ny mpizara hamindra anaran-drakitra hafa tsy mitovy amin'ireo nangatahana. Ny protocol SFTP dia tsy manana ireo olana ireo, fa tsy manohana ny fanitarana lalana manokana toy ny "~/". Mba hamahana an'io fahasamihafana io, ny famoahana OpenSSH teo aloha dia nampiditra fanitarana protocol SFTP vaovao ho an'ny ~ / sy ~ mpampiasa / lalana ao amin'ny fampiharana server SFTP.
Source: opennet.ru