د OpenSSH 9.6 خوشې کول خپاره شوي، د SSH 2.0 او SFTP پروتوکولونو په کارولو سره د کار کولو لپاره د پیرودونکي او سرور خلاص تطبیق. نوې نسخه درې امنیتي مسلې حل کوي:
- د SSH پروتوکول (CVE-2023-48795، "Terrapin" برید) کې یو زیان، کوم چې د MITM برید ته اجازه ورکوي چې پیوستون بیرته راولي ترڅو لږ خوندي تصدیق الګوریتمونه وکاروي او د اړخ چینل بریدونو پروړاندې محافظت غیر فعال کړي چې د ځنډ تحلیل کولو سره ان پټ بیا رامینځته کوي. په کیبورډ کې د کیسټروکونو ترمینځ د برید طریقه په یوه جلا خبر پاڼه کې بیان شوې ده.
- په ssh یوټیلیټ کې یو زیانمننه چې د ننوتلو او کوربه ارزښتونو د مینځلو له لارې د خپل سري شیل کمانډونو ځای په ځای کولو ته اجازه ورکوي چې ځانګړي حروف لري. زیانمنتیا څخه ګټه پورته کیدی شي که چیرې برید کونکی د ننوتلو او کوربه نوم ارزښتونه کنټرول کړي چې ssh، ProxyCommand او LocalCommand لارښوونو ته لیږدول شوي، یا "match exec" بلاکونه چې د وائلډ کارډ کرکټرونه لري لکه %u او %h. د مثال په توګه ، غلط ننوتل او کوربه په سیسټمونو کې ځای په ځای کیدی شي چې په Git کې فرعي ماډلونه کاروي ، ځکه چې Git په کوربه او کارونکي نومونو کې د ځانګړي حرفونو مشخص کول منع نه کوي. ورته زیان په libssh کې هم ښکاري.
- په ssh-agent کې یوه ستونزه وه چیرې چې کله د PKCS#11 شخصي کیلي اضافه کول، محدودیتونه یوازې په لومړي کیلي باندې پلي کیدل چې د PKCS#11 نښه لخوا بیرته راستانه شوي. دا مسله په منظم شخصي کیلي، FIDO ټوکنونو، یا غیر محدوده کیلي اغیزه نه کوي.
نور بدلونونه:
- ssh ته د "%j" بدیل اضافه شوی، د پراکسي جمپ لارښود له لارې مشخص شوي کوربه نوم ته پراخول.
- ssh د پیرودونکي اړخ کې د چینل ټایم آوټ تنظیم کولو لپاره ملاتړ اضافه کړی ، کوم چې د غیر فعال چینلونو ختمولو لپاره کارول کیدی شي.
- د PEM PKCS25519 فارمیټ کې ssh، sshd، ssh-add او ssh-keygen ته د ED8 شخصي کیلي لوستلو لپاره ملاتړ اضافه شوی (پخوا یوازې د OpenSSH فارمیټ ملاتړ شوی و).
- د پروتوکول توسیع په ssh او sshd کې اضافه شوي ترڅو د کارن نوم ترلاسه کولو وروسته د عامه کلیدي تصدیق لپاره د ډیجیټل لاسلیک الګوریتمونو سره بیا خبرې وکړي. د مثال په توګه، د تمدید په کارولو سره، تاسو کولی شئ په انتخاب سره د کاروونکو په اړه نور الګوریتمونه وکاروئ د "میچ کاروونکي" بلاک کې د PubkeyAcceptedAlgorithms مشخص کولو سره.
- ssh-add او ssh-agent ته د پروتوکول توسیع اضافه شوی ترڅو سندونه تنظیم کړي کله چې د PKCS#11 کیلي پورته کول، د PKCS#11 خصوصي کیلي سره تړلي سندونو ته اجازه ورکوي چې په ټولو OpenSSH اسانتیاوو کې وکارول شي چې د ssh-agent ملاتړ کوي، نه یوازې ssh.
- په کلینګ کې د "-fzero-call-used-regs" په څیر د غیر ملاتړ شوي یا بې ثباته کمپیلر بیرغونو ښه کشف.
- د sshd پروسې د امتیازاتو محدودولو لپاره، د OpenSolaris نسخې چې د getpflags() انٹرفیس ملاتړ کوي د PRIV_LIMIT پرځای PRIV_XPOLICY حالت کاروي.
سرچینه: opennet.ru