🥇SSH ग्राहकहरू OpenSSH र PuTTY मा जोखिम

SSH ग्राहकहरूमा OpenSSH र PuTTY पहिचान गरियो कमजोरी (CVE-2020-14002 PuTTY मा र CVE-2020-14145 OpenSSH मा), जडान वार्ता एल्गोरिथ्ममा जानकारी चुहावट निम्त्याउँछ। जोखिमले क्लाइन्ट ट्राफिकलाई अवरोध गर्न सक्षम आक्रमणकर्तालाई अनुमति दिन्छ (उदाहरणका लागि, जब प्रयोगकर्ताले आक्रमणकर्ता-नियन्त्रित वायरलेस पहुँच पोइन्ट मार्फत जडान गर्दछ) ग्राहकले होस्ट कुञ्जी क्यास नगरेको बेला ग्राहकलाई सुरुमा होस्टमा जडान गर्ने प्रयास पत्ता लगाउन।

क्लाइन्टले पहिलो पटक जडान गर्न कोशिस गर्दैछ र यसको छेउमा होस्ट कुञ्जी छैन भन्ने थाहा पाएर, आक्रमणकर्ताले जडान आफैं (MITM) मार्फत प्रसारण गर्न सक्छ र ग्राहकलाई आफ्नो होस्ट कुञ्जी दिन सक्छ, जुन SSH ग्राहकले विचार गर्नेछ। यदि यसले कुञ्जी फिंगरप्रिन्ट प्रमाणित गर्दैन भने लक्ष्य होस्टको कुञ्जी बन्नुहोस्। यसरी, एक आक्रमणकर्ताले प्रयोगकर्ताको शंका जगाउन बिना MITM संगठित गर्न सक्छ र सत्रहरूलाई बेवास्ता गर्न सक्छ जसमा ग्राहक पक्षले पहिले नै होस्ट कुञ्जीहरू क्यास गरेको छ, प्रतिस्थापन गर्ने प्रयास जसले होस्ट कुञ्जी परिवर्तनको बारेमा चेतावनी दिन्छ। आक्रमण पहिलो पटक जडान हुँदा होस्ट कुञ्जीको फिंगरप्रिन्ट म्यानुअल रूपमा जाँच नगर्ने प्रयोगकर्ताहरूको लापरवाहीमा आधारित छ। कुञ्जी औंठाछाप जाँच गर्नेहरू त्यस्ता आक्रमणहरूबाट सुरक्षित हुन्छन्।

पहिलो जडान प्रयास निर्धारण गर्न संकेतको रूपमा, समर्थित होस्ट कुञ्जी एल्गोरिदमहरू सूचीबद्ध गर्ने क्रममा परिवर्तन प्रयोग गरिन्छ। यदि पहिलो जडान हुन्छ भने, क्लाइन्टले पूर्वनिर्धारित एल्गोरिदमहरूको सूची पठाउँछ, र यदि होस्ट कुञ्जी पहिले नै क्यासमा छ भने, सम्बन्धित एल्गोरिदम पहिलो स्थानमा राखिएको छ (एल्गोरिदम प्राथमिकताको क्रममा क्रमबद्ध गरिएको छ)।

समस्या OpenSSH रिलिज 5.7 देखि 8.3 र PuTTY 0.68 देखि 0.73 मा देखिन्छ। समस्या हटाइयो मुद्दा मा पुटी ०.0.74० एल्गोरिदमहरूलाई स्थिर क्रममा सूचीबद्ध गर्ने पक्षमा होस्ट कुञ्जी प्रशोधन एल्गोरिदमहरूको सूचीको गतिशील निर्माणलाई असक्षम गर्ने विकल्प थपेर।

OpenSSH परियोजनाले SSH क्लाइन्टको व्यवहार परिवर्तन गर्ने योजना गर्दैन, किनकि यदि तपाईंले पहिले अवस्थित कुञ्जीको एल्गोरिदम निर्दिष्ट गर्नुभएन भने, क्यास कुञ्जीसँग मेल नखाने एल्गोरिदम प्रयोग गर्ने प्रयास गरिनेछ। अज्ञात कुञ्जीको बारेमा चेतावनी प्रदर्शित हुनेछ। ती। एउटा छनोट उठ्छ - या त जानकारी चुहावट (OpenSSH र PuTTY), वा बचत गरिएको कुञ्जी पूर्वनिर्धारित सूचीमा पहिलो एल्गोरिदमसँग मेल खाँदैन भने कुञ्जी (Dropbear SSH) परिवर्तन गर्ने बारे चेतावनी।

सुरक्षा प्रदान गर्न, OpenSSH ले DNSSEC र होस्ट प्रमाणपत्रहरू (PKI) मा SSHFP प्रविष्टिहरू प्रयोग गरेर होस्ट कुञ्जी प्रमाणीकरणको लागि वैकल्पिक विधिहरू प्रदान गर्दछ। तपाईं HostKeyAlgorithms विकल्प मार्फत होस्ट कुञ्जी एल्गोरिदमहरूको अनुकूली चयन असक्षम गर्न सक्नुहुन्छ र ग्राहकलाई प्रमाणीकरण पछि थप होस्ट कुञ्जीहरू प्राप्त गर्न अनुमति दिन UpdateHostKeys विकल्प प्रयोग गर्नुहोस्।

स्रोत: opennet.ru

SSH ग्राहकहरू OpenSSH र PuTTY मा जोखिम

एक टिप्पणी थप्न Отменить ответ