rsa-sha डिजिटल हस्ताक्षरहरूको लागि समर्थन असक्षम पार्दै OpenSSH 8.8 को रिलीज

OpenSSH 8.8 को रिलीज प्रकाशित गरिएको छ, SSH 2.0 र SFTP प्रोटोकलहरू प्रयोग गरेर काम गर्नको लागि ग्राहक र सर्भरको खुला कार्यान्वयन। SHA-1 ह्यास ("ssh-rsa") को साथ RSA कुञ्जीहरूमा आधारित डिजिटल हस्ताक्षरहरू प्रयोग गर्ने क्षमतालाई पूर्वनिर्धारित रूपमा असक्षम गर्नको लागि रिलीज उल्लेखनीय छ।

"ssh-rsa" हस्ताक्षरहरूको लागि समर्थनको अन्त्य दिइएको उपसर्गको साथ टक्कर आक्रमणको बढ्दो दक्षताको कारण हो (एक टक्कर चयनको लागत लगभग $ 50 हजार अनुमान गरिएको छ)। तपाइँको प्रणालीहरूमा ssh-rsa को प्रयोग परीक्षण गर्न, तपाइँ "-oHostKeyAlgorithms=-ssh-rsa" विकल्पको साथ ssh मार्फत जडान गर्ने प्रयास गर्न सक्नुहुन्छ। SHA-256 र SHA-512 ह्यासहरू (rsa-sha2-256/512) सँग RSA हस्ताक्षरहरूको लागि समर्थन, जुन OpenSSH 7.2 देखि समर्थित छ, अपरिवर्तित रहन्छ।

धेरै जसो केसहरूमा, "ssh-rsa" को लागि समर्थन बन्द गर्न प्रयोगकर्ताहरूबाट कुनै पनि म्यानुअल कार्यहरू आवश्यक पर्दैन, किनकि OpenSSH ले पूर्वनिर्धारित रूपमा अपडेटहोस्टकी सेटिङ सक्षम गरेको थियो, जसले स्वचालित रूपमा ग्राहकहरूलाई थप भरपर्दो एल्गोरिदमहरूमा स्थानान्तरण गर्दछ। माइग्रेसनको लागि, प्रोटोकल विस्तार "[ईमेल सुरक्षित]", सर्भरलाई अनुमति दिँदै, प्रमाणीकरण पछि, ग्राहकलाई सबै उपलब्ध होस्ट कुञ्जीहरूको बारेमा जानकारी दिन। क्लाइन्ट साइडमा OpenSSH को धेरै पुरानो संस्करणहरूसँग होस्टहरूमा जडानको अवस्थामा, तपाईंले ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + मा थपेर "ssh-rsa" हस्ताक्षरहरू प्रयोग गर्ने क्षमता फिर्ता गर्न सक्नुहुन्छ। ssh-rsa

नयाँ संस्करणले OpenSSH 6.2 बाट सुरु हुने, AuthorizedKeysCommand र AuthorizedPrincipalsCommand निर्देशनहरूमा निर्दिष्ट गरिएका आदेशहरू कार्यान्वयन गर्दा प्रयोगकर्ता समूहलाई ठीकसँग प्रारम्भ नगर्ने, sshd बाट हुने सुरक्षा समस्यालाई पनि समाधान गर्छ। यी निर्देशनहरूले आदेशहरूलाई फरक प्रयोगकर्ता अन्तर्गत चलाउन अनुमति दिनु पर्ने थियो, तर वास्तवमा तिनीहरूले sshd चलाउँदा प्रयोग गरिएका समूहहरूको सूची इनहेरिट गरेका थिए। सम्भावित रूपमा, यो व्यवहारले, निश्चित प्रणाली सेटिङहरूको उपस्थितिमा, सुरु गरिएको ह्यान्डलरलाई प्रणालीमा थप विशेषाधिकारहरू प्राप्त गर्न अनुमति दियो।

नयाँ विमोचन नोटमा एक चेतावनी पनि समावेश छ कि scp लेगेसी SCP/RCP प्रोटोकलको सट्टा SFTP मा पूर्वनिर्धारित हुनेछ। SFTP ले अधिक अनुमानित नाम ह्यान्डलिंग विधिहरू प्रयोग गर्दछ र अर्को होस्टको छेउमा फाइल नामहरूमा ग्लोब ढाँचाहरूको शेल प्रशोधन प्रयोग गर्दैन, जसले सुरक्षा समस्याहरू सिर्जना गर्दछ। विशेष गरी, SCP र RCP प्रयोग गर्दा, सर्भरले क्लाइन्टलाई कुन फाइल र डाइरेक्टरीहरू पठाउने निर्णय गर्दछ, र क्लाइन्टले मात्र फिर्ता वस्तु नामहरूको शुद्धता जाँच गर्दछ, जुन, ग्राहक पक्षमा उचित जाँचको अभावमा, अनुमति दिन्छ। सर्भर अन्य फाइल नामहरू स्थानान्तरण गर्नका लागि जुन अनुरोध गरिएका भन्दा फरक छन्। SFTP प्रोटोकलमा यी समस्याहरू छैनन्, तर "~/" जस्ता विशेष मार्गहरूको विस्तारलाई समर्थन गर्दैन। यस भिन्नतालाई सम्बोधन गर्न, SFTP प्रोटोकलमा नयाँ विस्तारको प्रस्ताव ओपनएसएसएचको अघिल्लो विमोचनमा SFTP सर्भरको कार्यान्वयनमा ~/ र ~user/ लाई विस्तार गर्न प्रस्ताव गरिएको थियो।

स्रोत: opennet.ru