د OpenSSH 9.2 خوشې کول خپاره شوي، د SSH 2.0 او SFTP پروتوکولونو په کارولو سره کار کولو لپاره د پیرودونکي او سرور خلاص پلي کول. نوې نسخه یو زیان منونکي له منځه وړي چې د تصدیق کولو دمخه مرحله کې د حافظې دوه ځله خلاصیدو لامل کیږي. یوازې د OpenSSH 9.1 خوشې کول اغیزمن شوي؛ ستونزه په پخوانیو نسخو کې نه ښکاري.
د زیان مننې څرګندولو لپاره شرایط رامینځته کولو لپاره ، دا کافي دي چې د SSH پیرودونکي بینر "SSH-2.0-FuTTYSH_9.1p1" ته بدل کړئ ترڅو د "SSH_BUG_CURVE25519PAD" او "SSH_OLD_DHGEX" بیرغونه تنظیم کړي ، کوم چې د SSH نسخه پورې اړه لري. پیرودونکي د دې بیرغونو له تنظیمولو وروسته، د "options.kex_algorithms" بفر لپاره حافظه دوه ځله آزاده کیږي - کله چې د do_ssh2_kex() فنکشن اجرا کوي، کوم چې د compat_kex_proposal() په نوم یادیږي، او کله چې د do_authentication2() فنکشن اجرا کوي، کوم چې input_userauth_request () نومیږي. )، copy_set_server_options() د سلسلې په اوږدو کې، assemble_algorithms() او kex_assemble_names().
د زیانمننې لپاره د کار ګټې اخیستنې رامینځته کول ناشونې ګڼل کیږي، ځکه چې د استخراج پروسه خورا پیچلې ده - د عصري حافظې تخصیص کتابتونونه د حافظې د دوه ګوني آزادۍ په وړاندې محافظت چمتو کوي، او د تصدیق کولو دمخه پروسه چې غلطی شتون لري په جلا جلا توګه د کمو امتیازاتو سره پرمخ ځي. د سینڈ باکس چاپیریال.
د یاد شوي زیان مننې سربیره، نوې خپرونه دوه نورې امنیتي مسلې هم حل کوي:
- د "PermitRemoteOpen" ترتیب پروسس کولو په وخت کې یوه تېروتنه رامنځته شوه، چې لومړی دلیل به له پامه غورځول شي که چیرې دا د "هیڅ" او "هیڅ" ارزښتونو څخه توپیر ولري. ستونزه د OpenSSH 8.7 څخه په نوي نسخو کې ښکاري او د دې لامل کیږي چې چیک پریښودل شي کله چې یوازې یو اجازه مشخص شي.
- یو برید کونکی چې د DNS سرور کنټرولوي چې د نومونو حل کولو لپاره کارول کیږي کولی شي د پیژندل شوي_hosts فایلونو کې د ځانګړي حروف (د مثال په توګه ، "*") ځای په ځای کړي که چیرې د CanonicalizeHostname او CanonicalizePermittedCNAMEs اختیارونه په ترتیب کې فعال شوي وي ، او د سیسټم حل کونکی د سموالي نه ګوري. د DNS سرور څخه ځوابونه. برید ناشونی ګڼل کیږي ځکه چې بیرته راستانه شوي نومونه باید د CanonicalizePermittedCNAMEs له لارې مشخص شوي شرایطو سره سمون ولري.
نور بدلونونه:
- د EnableEscapeCommandline ترتیب په ssh_config کې د ssh لپاره اضافه شوی ترڅو دا کنټرول کړي چې ایا د "~C" فرار ترتیب د پیرودونکي اړخ پروسس کول چې د کمانډ لاین چمتو کوي فعال شوی دی. د ډیفالټ په توګه، د "~C" سمبالول اوس د سخت سینڈ باکس انزوا کارولو لپاره غیر فعال شوي، په احتمالي توګه ماتونکي سیسټمونه چې د رن ټایم په وخت کې د پورټ فارورډینګ لپاره "~C" کاروي.
- د چینل ټایم آوټ لارښود د sshd لپاره sshd_config ته اضافه شوی ترڅو د چینل غیر فعالیت وخت تنظیم کړي (هغه چینلونه چې په لارښود کې ټاکل شوي وخت لپاره هیڅ ترافیک ثبت نه وي په اوتومات ډول بند شي). د سیشن ، X11 ، اجنټ ، او ترافیک ریډائریکشن لپاره مختلف وختونه ټاکل کیدی شي.
- د غیر استعمال شوي کنکشن ټایم آوټ لارښود د sshd لپاره sshd_config کې اضافه شوی ، تاسو ته اجازه درکوي د پیرودونکي اړیکې پای ته رسولو لپاره وخت وټاکئ کوم چې د یو ټاکلي وخت لپاره فعال چینلونه ندي.
- د "-V" اختیار د نسخې ښودلو لپاره sshd ته اضافه شوی، د ssh مراجع کې ورته اختیار ته ورته دی.
- د "ssh -G" محصول ته "هوسټ" کرښه اضافه کړه، د کوربه نوم دلیل ارزښت منعکس کوي.
- د "-X" اختیار په scp او sftp کې اضافه شوی ترڅو د SFTP پروتوکول پیرامیټونه کنټرول کړي لکه د کاپي بفر اندازه او د پاتې غوښتنو شمیر.
- ssh-keyscan د بشپړ CIDR پتې سلسلې سکین کولو ته اجازه ورکوي، د بیلګې په توګه "ssh-keyscan 192.168.0.0/24".
سرچینه: opennet.ru