د دریو میاشتو پراختیا وروسته
نوې خپرونه د scp بریدونو پروړاندې محافظت اضافه کوي چې سرور ته اجازه ورکوي د غوښتنې په پرتله نور فایل نومونه تیر کړي (لکه څنګه چې مخالف
دا ب featureه ، کله چې د برید کونکي لخوا کنټرول شوي سرور سره وصل کیږي ، د کارونکي FS کې د نورو فایلونو نومونو او نور مینځپانګې خوندي کولو لپاره کارول کیدی شي کله چې په ترتیبونو کې د scp په کارولو سره کاپي کول چې د یوټیم کال کولو پرمهال د ناکامۍ لامل کیږي (د مثال په توګه ، کله چې یوټیم منع شوی وي) د SELinux پالیسي یا د سیسټم کال فلټر). د ریښتیني بریدونو احتمال لږترلږه اټکل شوی ، ځکه چې په عادي تشکیلاتو کې د یوټیم کال ناکام نه کیږي. برسېره پردې، برید د پام وړ نه دی - کله چې scp ته زنګ ووهئ، د معلوماتو لیږد تېروتنه ښودل کیږي.
عمومي بدلونونه:
- په sftp کې، د "-1" دلیل پروسس کول ودرول شوي، د ssh او scp په څیر، چې مخکې منل شوي مګر له پامه غورځول شوي؛
- په sshd کې، کله چې د IgnoreRhosts کاروئ، اوس درې انتخابونه شتون لري: "هو" - rhosts/shosts له پامه غورځول، "نه" - rhosts/shosts ته درناوی، او "یوازې shosts" - اجازه ".shosts" مګر اجازه نه ورکول ".rhosts"؛
- Ssh اوس په LocalFoward او RemoteForward ترتیباتو کې د %TOKEN بدیل مالتړ کوي چې د یونکس ساکټونو ته د راستنیدو لپاره کارول کیږي؛
- د شخصي کیلي سره د غیر کوډ شوي فایل څخه عامه کیلي بارولو ته اجازه ورکړئ که چیرې د عامه کیلي سره جلا فایل شتون نلري؛
- که چیرې libcrypto په سیسټم کې شتون ولري، ssh او sshd اوس د دې کتابتون څخه د چاچا 20 الګوریتم تطبیق کاروي، د جوړ شوي پورټ ایبل پلي کولو پرځای، چې په فعالیت کې وروسته پاتې دی؛
- د "ssh-keygen -lQf /path" کمانډ اجرا کولو پر مهال د رد شوي سندونو د بائنری لیست مینځپانګې ډمپ کولو وړتیا پلي کړه؛
- د پورټ ایبل نسخه د سیسټمونو تعریفونه پلي کوي په کوم کې چې د SA_RESTART اختیار سره سیګنالونه د انتخاب عملیات مداخله کوي؛
- په HP/UX او AIX سیسټمونو کې د مجلس سره ستونزې حل شوې؛
- په ځینو لینکس تشکیلاتو کې د سیکمپ سینڈ باکس جوړولو سره حل شوې ستونزې؛
- د libfido2 کتابتون کشف ښه شوی او د "--with-security-key-builtin" اختیار سره د جوړونې مسلې حل شوې.
د OpenSSH پراختیا کونکو هم یوځل بیا د SHA-1 هشونو په کارولو سره د الګوریتمونو د راتلونکي تخریب په اړه خبرداری ورکړ
په OpenSSH کې نوي الګوریتمونو ته د لیږد اسانه کولو لپاره، په راتلونکي کې د UpdateHostKeys ترتیب به د ډیفالټ په واسطه فعال شي، کوم چې به په اتوماتيک ډول پیرودونکي ډیر معتبر الګوریتمونو ته مهاجر کړي. د مهاجرت لپاره وړاندیز شوي الګوریتمونه شامل دي rsa-sha2-256/512 د RFC8332 RSA SHA-2 پر بنسټ (د OpenSSH 7.2 راهیسې ملاتړ شوی او په ډیفالټ کارول کیږي)، ssh-ed25519 (د OpenSSH 6.5 راهیسې ملاتړ شوی) او ecdsa-sha2-nistp256/384/521 په RFC5656 ECDSA کې (د OpenSSH 5.7 راهیسې ملاتړ شوی).
د وروستي خپریدو سره سم، "ssh-rsa" او "diffie-hellman-group14-sha1" د CASignatureAlgorithms لیست څخه لیرې شوي چې د الګوریتم تعریف کوي چې په ډیجیټل ډول نوي سندونه لاسلیک کړي، ځکه چې په سندونو کې د SHA-1 کارول یو اضافي خطر رامینځته کوي. د دې له امله برید کونکی د موجوده سند لپاره د ټکر موندلو لپاره لامحدود وخت لري ، پداسې حال کې چې د کوربه کلیدونو برید کولو وخت د پیوستون مهال ویش (LoginGraceTime) لخوا محدود دی.
سرچینه: opennet.ru