OpenSSH 8.1 को रिलीज

छ महिनाको विकास पछि प्रस्तुत रिलीज ओपनएसएच .8.1..XNUMX, SSH 2.0 र SFTP प्रोटोकलहरू मार्फत काम गर्नको लागि खुला ग्राहक र सर्भर कार्यान्वयन।

नयाँ विमोचनमा विशेष ध्यान भनेको ssh, sshd, ssh-add र ssh-keygen लाई असर गर्ने जोखिम हटाउनु हो। XMSS प्रकारको साथ निजी कुञ्जीहरू पार्स गर्नको लागि कोडमा समस्या अवस्थित छ र आक्रमणकर्तालाई पूर्णांक ओभरफ्लो ट्रिगर गर्न अनुमति दिन्छ। XMSS कुञ्जीहरूको लागि समर्थन पूर्वनिर्धारित रूपमा असक्षम गरिएको एक प्रयोगात्मक विशेषता हो (पोर्टेबल संस्करणमा XMSS सक्षम गर्न autoconf मा निर्माण विकल्प पनि छैन) हुनाले कमजोरीलाई शोषणयोग्य रूपमा चिन्ह लगाइएको छ, तर थोरै प्रयोगको छ।

मुख्य परिवर्तनहरू:

• ssh, sshd र ssh-एजेन्टमा थपे कोड जसले साइड-च्यानल आक्रमणहरूको परिणाम स्वरूप RAM मा अवस्थित निजी कुञ्जीको रिकभरीलाई रोक्छ, जस्तै स्पेक्टर, मेल्टडाउन, रोवहैमर и RAMBleed। निजी कुञ्जीहरू अब मेमोरीमा लोड हुँदा गुप्तिकरण गरिन्छ र प्रयोगमा हुँदा मात्र गुप्तिकरण गरिन्छ, बाँकी समय गुप्तिकरण गरिन्छ। यस दृष्टिकोणको साथ, सफलतापूर्वक निजी कुञ्जी पुन: प्राप्ति गर्न, आक्रमणकारीले पहिले 16 KB साइजको अनियमित रूपमा उत्पन्न मध्यवर्ती कुञ्जी रिकभर गर्नुपर्छ, जुन मुख्य कुञ्जीलाई इन्क्रिप्ट गर्न प्रयोग गरिन्छ, जुन आधुनिक आक्रमणहरूको रिकभरी त्रुटि दरलाई सम्भव छैन;
• В ssh-keygen डिजिटल हस्ताक्षरहरू सिर्जना गर्न र प्रमाणित गर्नको लागि सरलीकृत योजनाको लागि प्रयोगात्मक समर्थन थपियो। डिजिटल हस्ताक्षरहरू डिस्कमा वा ssh-एजेन्टमा भण्डार गरिएको नियमित SSH कुञ्जीहरू प्रयोग गरेर सिर्जना गर्न सकिन्छ, र अधिकृत_कुञ्जीहरू जस्तै केहि प्रयोग गरेर प्रमाणित गर्न सकिन्छ। मान्य कुञ्जीहरूको सूची। नामस्थान जानकारी विभिन्न क्षेत्रहरूमा प्रयोग गर्दा भ्रमबाट बच्नको लागि डिजिटल हस्ताक्षरमा बनाइएको छ (उदाहरणका लागि, इमेल र फाइलहरूको लागि);
• ssh-keygen लाई पूर्वनिर्धारित रूपमा rsa-sha2-512 एल्गोरिथ्म प्रयोग गर्नको लागि स्विच गरिएको छ जब RSA कुञ्जी (CA मोडमा काम गर्दा) डिजिटल हस्ताक्षरको साथ प्रमाणपत्रहरू मान्य हुन्छ। त्यस्ता प्रमाणपत्रहरू OpenSSH 7.2 अघि रिलीजहरूसँग मिल्दो छैनन् (अनुकूलता सुनिश्चित गर्न, एल्गोरिदम प्रकार ओभरराइड हुनुपर्छ, उदाहरणका लागि "ssh-keygen -t ssh-rsa -s ..." कल गरेर);
• ssh मा, ProxyCommand अभिव्यक्तिले अब "%n" प्रतिस्थापन (ठेगाना पट्टीमा निर्दिष्ट होस्टनाम) को विस्तारलाई समर्थन गर्दछ;
• ssh र sshd को लागि गुप्तिकरण एल्गोरिदमहरूको सूचीमा, तपाईंले अब पूर्वनिर्धारित एल्गोरिदमहरू सम्मिलित गर्न "^" क्यारेक्टर प्रयोग गर्न सक्नुहुन्छ। उदाहरणका लागि, पूर्वनिर्धारित सूचीमा ssh-ed25519 थप्न, तपाईंले "HostKeyAlgorithms ^ssh-ed25519" निर्दिष्ट गर्न सक्नुहुन्छ;
• ssh-keygen ले निजी कुञ्जीबाट सार्वजनिक कुञ्जी निकाल्दा कुञ्जीमा संलग्न टिप्पणीको आउटपुट प्रदान गर्दछ;
• कुञ्जी लुकअप अपरेसनहरू प्रदर्शन गर्दा ssh-keygen मा "-v" फ्ल्याग प्रयोग गर्ने क्षमता थपियो (उदाहरणका लागि, "ssh-keygen -vF host"), कुन परिणामले दृश्य होस्ट हस्ताक्षरमा परिणाम दिन्छ;
• प्रयोग गर्ने क्षमता थपियो PKCS8 डिस्कमा निजी कुञ्जीहरू भण्डारण गर्नको लागि वैकल्पिक ढाँचाको रूपमा। PEM ढाँचा पूर्वनिर्धारित रूपमा प्रयोग गर्न जारी छ, र PKCS8 तेस्रो-पक्ष अनुप्रयोगहरूसँग अनुकूलता प्राप्त गर्नका लागि उपयोगी हुन सक्छ।

स्रोत: opennet.ru