ProHoster > blog > aħbarijiet fuq l-internet > Ħruġ ta' OpenSSH 8.0

Ħruġ ta' OpenSSH 8.0

Wara ħames xhur ta 'żvilupp ippreżentata rilaxx OpenSSH 8.0, implimentazzjoni ta' klijent u server miftuħ biex taħdem permezz tal-protokolli SSH 2.0 u SFTP.

Bidliet ewlenin:

  • Appoġġ sperimentali għal metodu ta 'skambju ewlieni li huwa reżistenti għal attakki ta' forza bruta fuq kompjuter quantum ġie miżjud ma 'ssh u sshd. Il-kompjuters quantum huma radikalment aktar mgħaġġla biex isolvu l-problema tad-dekompożizzjoni ta 'numru naturali f'fatturi ewlenin, li hija l-bażi ta' algoritmi moderni ta 'encryption asimetriċi u ma jistgħux jiġu solvuti b'mod effettiv fuq proċessuri klassiċi. Il-metodu propost huwa bbażat fuq l-algoritmu NTRU Prim (funzjoni ntrup4591761), żviluppat għal kriptosistemi ta 'wara l-kwantum, u l-metodu ta' skambju taċ-ċavetta tal-kurva ellittika X25519;
  • F'sshd, id-direttivi ListenAddress u PermitOpen m'għadhomx jappoġġjaw is-sintassi "host/port" tal-wirt, li ġiet implimentata fl-2001 bħala alternattiva għal "host:port" biex tissimplifika l-ħidma bl-IPv6. F'kundizzjonijiet moderni, is-sintassi “[::6]:1” ġiet stabbilita għall-IPv22, u “host/port” ħafna drabi tiġi konfuża mal-indikazzjoni tas-subnet (CIDR);
  • ssh, ssh-agent u ssh-add issa jappoġġjaw ċwievet ECDSA f'tokens PKCS#11;
  • F'ssh-keygen, id-daqs default taċ-ċavetta RSA żdied għal 3072 bit, skont ir-rakkomandazzjonijiet ġodda tal-NIST;
  • ssh jippermetti l-użu tal-issettjar "PKCS11Provider=xejn" biex jegħleb id-direttiva PKCS11Provider speċifikata f'ssh_config;
  • sshd jipprovdi wirja ta’ log ta’ sitwazzjonijiet meta l-konnessjoni tintemm meta tipprova tesegwixxi kmandi mblukkati mir-restrizzjoni “ForceCommand=internal-sftp” f’sshd_config;
  • F'ssh, meta turi talba biex tikkonferma l-aċċettazzjoni ta 'ċavetta ospitanti ġdida, minflok ir-rispons "iva", il-marki tas-swaba' korretta taċ-ċavetta issa hija aċċettata (bi tweġiba għall-istedina biex tikkonferma l-konnessjoni, l-utent jista 'kopja l- hash ta 'referenza riċevut separatament permezz tal-clipboard, sabiex ma titqabblux manwalment);
  • ssh-keygen jipprovdi inkrementazzjoni awtomatika tan-numru tas-sekwenza taċ-ċertifikat meta toħloq firem diġitali għal ċertifikati multipli fuq il-linja tal-kmand;
  • Għażla ġdida "-J" ġiet miżjuda ma 'scp u sftp, ekwivalenti għall-issettjar ProxyJump;
  • F'ssh-agent, ssh-pkcs11-helper u ssh-add, l-ipproċessar tal-għażla tal-linja tal-kmand "-v" ġie miżjud biex jiżdied il-kontenut tal-informazzjoni tal-output (meta speċifikat, din l-għażla tiġi mgħoddija lill-proċessi tat-tfal, għal eżempju, meta ssh-pkcs11-helper jissejjaħ minn ssh-agent );
  • L-għażla "-T" ġiet miżjuda ma 'ssh-add biex tittestja l-adegwatezza taċ-ċwievet f'ssh-agent għat-twettiq ta' operazzjonijiet ta 'ħolqien u verifika ta' firem diġitali;
  • sftp-server jimplimenta appoġġ għall-estensjoni tal-protokoll "lsetstat at openssh.com", li żżid appoġġ għall-operazzjoni SSH2_FXP_SETSTAT għal SFTP, iżda mingħajr ma ssegwi links simboliċi;
  • Miżjud "-h" għażla għal sftp biex imexxi kmandi chown/chgrp/chmod b'talbiet li ma jużawx links simboliċi;
  • sshd jipprovdi l-issettjar tal-varjabbli ambjentali $SSH_CONNECTION għal PAM;
  • Għal sshd, mod ta 'tqabbil "Match finali" ġie miżjud ma' ssh_config, li huwa simili għal "Match canonical", iżda ma jeħtieġx li tiġi attivata n-normalizzazzjoni tal-hostname;
  • Appoġġ miżjud għall-prefiss '@' għal sftp biex tiġi diżattivata t-traduzzjoni tal-output ta' kmandi esegwiti fil-modalità tal-lott;
  • Meta turi l-kontenut ta 'ċertifikat billi tuża l-kmand
    "ssh-keygen -Lf /path/certificate" issa turi l-algoritmu użat mis-CA biex tivvalida ċ-ċertifikat;

  • Appoġġ imtejjeb għall-ambjent Cygwin, pereżempju jipprovdi tqabbil insensittiv għall-każi tal-ismijiet tal-gruppi u tal-utenti. Il-proċess sshd fil-port Cygwin inbidel għal cygsshd biex tiġi evitata interferenza mal-port OpenSSH fornut minn Microsoft;
  • Miżjud l-abbiltà li tibni bil-fergħa sperimentali OpenSSL 3.x;
  • Eliminati vulnerabbiltà (CVE-2019-6111) fl-implimentazzjoni tal-utilità scp, li tippermetti li fajls arbitrarji fid-direttorju fil-mira jinkitbu fuq in-naħa tal-klijent meta jaċċessaw server ikkontrollat ​​minn attakkant. Il-problema hija li meta tuża scp, is-server jiddeċiedi liema fajls u direttorji jibgħat lill-klijent, u l-klijent jiċċekkja biss il-korrettezza tal-ismijiet tal-oġġetti rritornati. Iċċekkjar min-naħa tal-klijent huwa limitat biss għall-imblukkar tal-ivvjaġġar lil hinn mid-direttorju attwali ("../"), iżda ma jqisx it-trasferiment ta 'fajls b'ismijiet differenti minn dawk oriġinarjament mitluba. Fil-każ ta 'ikkupjar rikorsiv (-r), minbarra l-ismijiet tal-fajls, tista' wkoll timmanipula l-ismijiet tas-sottodirettorji b'mod simili. Pereżempju, jekk l-utent jikkopja fajls fid-direttorju tad-dar, is-server ikkontrollat ​​mill-attakkant jista 'jipproduċi fajls bl-ismijiet .bash_aliases jew .ssh/authorized_keys minflok il-fajls mitluba, u se jiġu ffrankati mill-utilità scp fl-utent tal-utent. direttorju tad-dar.

    Fir-rilaxx il-ġdid, l-utilità scp ġiet aġġornata biex tiċċekkja l-korrispondenza bejn l-ismijiet tal-fajls mitluba u dawk mibgħuta mis-server, li titwettaq fuq in-naħa tal-klijent. Dan jista 'jikkawża problemi bl-ipproċessar tal-maskra, peress li l-karattri ta' espansjoni tal-maskra jistgħu jiġu pproċessati b'mod differenti fuq in-naħat tas-server u tal-klijent. F'każ li differenzi bħal dawn jikkawżaw lill-klijent jieqaf jaċċetta fajls f'scp, l-għażla "-T" ġiet miżjuda biex tiddiżattiva l-iċċekkjar min-naħa tal-klijent. Biex tikkoreġi bis-sħiħ il-problema, hija meħtieġa ħidma mill-ġdid kunċettwali tal-protokoll scp, li minnu nnifsu huwa diġà skadut, għalhekk huwa rakkomandat li jintużaw protokolli aktar moderni bħal sftp u rsync minflok.

Sors: opennet.ru

Żid kumment