Ko te tukunga o OpenSSH 9.6 kua whakaputaina, he whakatinanatanga tuwhera o te kiritaki me te tūmau mo te mahi ma te whakamahi i nga tikanga SSH 2.0 me SFTP. Ko te putanga hou e whakatika ana i nga take haumaru e toru:
- He whakaraeraetanga i roto i te kawa SSH (CVE-2023-48795, "Terrapin" whakaeke), e taea ai e te whakaeke MITM te huri whakamuri i te hononga ki te whakamahi i nga hātepe whakamotuhēhēnga iti ake te haumaru me te whakakore i te whakamarumaru ki nga whakaeke taha-taha e hanga ana i te whakauru ma te tātari i nga whakaroa. i waenganui i nga patuhi i te papapātuhi. Ko te tikanga whakaeke e whakaahuahia ana i roto i tetahi tuhinga korero motuhake.
- He whakaraeraetanga i roto i te whaipainga ssh e taea ai te whakakapi i nga whakahau anga karekau na roto i te raweke o te takiuru me nga uara kaihautu kei roto nga tohu motuhake. Ka taea te whakaraeraetanga ki te whakahaerea e te tangata whakaeke nga uara takiuru me te ingoa kaihautu kua tukuna ki te ssh, ProxyCommand me LocalCommand tohutohu, he poraka "match exec" ranei kei roto nga tohu mohoao penei i te %u me te %h. Hei tauira, ka taea te whakakapi i te takiuru me te kaihautu he ki nga punaha e whakamahi ana i nga waahanga iti i Git, na te mea kaore a Git e aukati i te tohu tohu motuhake ki te kaihautu me nga ingoa kaiwhakamahi. Ka puta ano he whakaraeraetanga rite ki libssh.
- He pepeke i roto i te ssh-agent i reira, i te taapiri i nga taviri tūmataiti PKCS#11, ka tukuna nga here ki te ki tuatahi i whakahokia mai e te tohu PKCS#11. Karekau te take e pa ki nga kii motuhake, ki nga tohu FIDO, ki nga kii kore here ranei.
Ētahi atu huringa:
- Kua taapirihia te whakakapinga "%j" ki te ssh, ka toro atu ki te ingoa kaihautu i tohua ma te tohutohu ProxyJump.
- Kua taapirihia e te ssh te tautoko mo te whakatakoto ChannelTimeout ki te taha o te kiritaki, ka taea te whakamahi ki te whakamutu i nga hongere kore.
- He tautoko taapiri mo te panui i nga taviri ED25519 ki te whakatakotoranga PEM PKCS8 ki te ssh, sshd, ssh-add me te ssh-keygen (i mua ko te whakatakotoranga OpenSSH anake i tautokohia).
- Kua taapirihia he toronga kawa ki te ssh me te sshd ki te whiriwhiri ano i nga tohu tohu tohu tohu mamati mo te whakamotuhēhēnga matua tūmatanui i muri i te whiwhinga o te ingoa kaiwhakamahi. Hei tauira, ma te whakamahi i te toronga, ka taea e koe te whakamahi i etahi atu algorithms e pa ana ki nga kaiwhakamahi ma te tohu PubkeyAcceptedAlgorithms i roto i te poraka "Match user".
- I taapirihia he toronga kawa ki te ssh-add me te ssh-agent ki te tautuhi i nga tiwhikete i te wa e utaina ana nga taviri PKCS#11, ka taea te whakamahi i nga tiwhikete e hono ana ki te PKCS#11 ki nga taviri tūmataiti ki nga taputapu OpenSSH katoa e tautoko ana i te ssh-agent, kaua ko te ssh anake.
- Kua pai ake te kite i nga haki whakahiato kaore i tautokohia, karekau ranei penei i te "-fzero-call-used-regs" i te clang.
- Hei whakawhāiti i ngā mana o te tukanga sshd, ko nga putanga o OpenSolaris e tautoko ana i te atanga getpflags() ka whakamahi i te aratau PRIV_XPOLICY hei utu mo te PRIV_LIMIT.
Source: opennet.ru