OpenSSH 8.1 चे प्रकाशन

सहा महिन्यांच्या विकासानंतर सादर रीलिझ ओपनएसएच एक्सएनयूएमएक्स, SSH 2.0 आणि SFTP प्रोटोकॉलद्वारे कार्य करण्यासाठी एक ओपन क्लायंट आणि सर्व्हर अंमलबजावणी.

नवीन प्रकाशनात विशेष लक्ष ssh, sshd, ssh-add आणि ssh-keygen ला प्रभावित करणारी असुरक्षा दूर करणे आहे. XMSS प्रकारासह खाजगी की पार्स करण्यासाठी कोडमध्ये समस्या उपस्थित आहे आणि आक्रमणकर्त्याला पूर्णांक ओव्हरफ्लो ट्रिगर करण्यास अनुमती देते. असुरक्षितता शोषण करण्यायोग्य म्हणून चिन्हांकित केली आहे, परंतु त्याचा फारसा उपयोग नाही, कारण XMSS की साठी समर्थन हे एक प्रायोगिक वैशिष्ट्य आहे जे डीफॉल्टनुसार अक्षम केले जाते (पोर्टेबल आवृत्तीमध्ये XMSS सक्षम करण्यासाठी autoconf मध्ये बिल्ड पर्याय देखील नाही).

मुख्य बदल:

• ssh, sshd आणि ssh-एजंट मध्ये जोडले साइड-चॅनल हल्ल्यांच्या परिणामी RAM मध्ये स्थित खाजगी की पुनर्प्राप्त करण्यास प्रतिबंध करणारा कोड, जसे की स्पेक्टर, मेल्टडाउन, रोवहॅमर и रॅमब्लीड. खाजगी की आता मेमरीमध्ये लोड केल्यावर कूटबद्ध केल्या जातात आणि वापरात असतानाच डिक्रिप्ट केल्या जातात, उर्वरित वेळ कूटबद्ध केल्या जातात. या दृष्टिकोनासह, खाजगी की यशस्वीरित्या पुनर्प्राप्त करण्यासाठी, आक्रमणकर्त्याने प्रथम यादृच्छिकपणे व्युत्पन्न केलेली 16 KB आकाराची इंटरमीडिएट की पुनर्प्राप्त करणे आवश्यक आहे, जी मुख्य की कूटबद्ध करण्यासाठी वापरली जाते, जी आधुनिक हल्ल्यांच्या वैशिष्ट्यपूर्ण पुनर्प्राप्ती त्रुटी दरामुळे संभव नाही;
• В ssh-keygen डिजिटल स्वाक्षरी तयार करण्यासाठी आणि सत्यापित करण्यासाठी सरलीकृत योजनेसाठी प्रायोगिक समर्थन जोडले. डिस्कवर किंवा ssh-एजंटमध्ये साठवलेल्या नियमित SSH की वापरून डिजिटल स्वाक्षरी तयार केली जाऊ शकते आणि अधिकृत_की सारखे काहीतरी वापरून सत्यापित केले जाऊ शकते. वैध की यादी. वेगवेगळ्या भागात (उदाहरणार्थ, ईमेल आणि फाइल्ससाठी) वापरताना गोंधळ टाळण्यासाठी नेमस्पेस माहिती डिजिटल स्वाक्षरीमध्ये तयार केली जाते;
• RSA की (CA मोडमध्ये काम करताना) डिजिटल स्वाक्षरीसह प्रमाणपत्रे प्रमाणित करताना rsa-sha2-512 अल्गोरिदम वापरण्यासाठी ssh-keygen डीफॉल्टनुसार स्विच केले गेले आहे. अशी प्रमाणपत्रे OpenSSH 7.2 पूर्वीच्या प्रकाशनांशी सुसंगत नाहीत (सुसंगतता सुनिश्चित करण्यासाठी, अल्गोरिदम प्रकार अधिलिखित करणे आवश्यक आहे, उदाहरणार्थ "ssh-keygen -t ssh-rsa -s ..." कॉल करून);
• ssh मध्ये, ProxyCommand अभिव्यक्ती आता "%n" प्रतिस्थापन (अॅड्रेस बारमध्ये निर्दिष्ट होस्टनाव) च्या विस्तारास समर्थन देते;
• ssh आणि sshd साठी एनक्रिप्शन अल्गोरिदमच्या सूचीमध्ये, तुम्ही आता डीफॉल्ट अल्गोरिदम घालण्यासाठी "^" वर्ण वापरू शकता. उदाहरणार्थ, डीफॉल्ट सूचीमध्ये ssh-ed25519 जोडण्यासाठी, तुम्ही "HostKeyAlgorithms ^ssh-ed25519" निर्दिष्ट करू शकता;
• ssh-keygen खाजगी मधून सार्वजनिक की काढताना कीशी संलग्न टिप्पणीचे आउटपुट प्रदान करते;
• की लुकअप ऑपरेशन्स (उदाहरणार्थ, “ssh-keygen -vF होस्ट”) करताना ssh-keygen मध्ये “-v” ध्वज वापरण्याची क्षमता जोडली आहे, ज्याचा परिणाम व्हिज्युअल होस्ट स्वाक्षरीमध्ये होतो;
• वापरण्याची क्षमता जोडली PKCS8 डिस्कवर खाजगी की संचयित करण्यासाठी पर्यायी स्वरूप म्हणून. डीफॉल्टनुसार PEM फॉरमॅट वापरणे सुरूच आहे आणि PKCS8 तृतीय-पक्ष अनुप्रयोगांसह सुसंगतता प्राप्त करण्यासाठी उपयुक्त असू शकते.

स्त्रोत: opennet.ru