ٽن مهينن جي ترقي کان پوء ڇڏڻ ، SSH 2.0 ۽ SFTP پروٽوڪول ذريعي ڪم ڪرڻ لاءِ کليل ڪلائنٽ ۽ سرور تي عمل درآمد.
نئين رليز scp حملن جي خلاف تحفظ شامل ڪري ٿي جيڪا سرور کي ٻين فائلن جا نالا پاس ڪرڻ جي اجازت ڏئي ٿي جيڪي درخواست ڪيا ويا آهن (جيئن ته ، حملو اهو ممڪن ناهي ته صارف جي چونڊيل ڊاريڪٽري يا گلوب ماسڪ کي تبديل ڪرڻ). ياد رهي ته SCP ۾، سرور فيصلو ڪري ٿو ته ڪهڙن فائلن ۽ ڊائريڪٽرن کي ڪلائنٽ ڏانهن موڪلڻ لاء، ۽ ڪلائنٽ صرف واپس ڪيل اعتراض جي نالن جي درستي جي جانچ ڪري ٿو. سڃاڻپ ٿيل مسئلي جو خلاصو اهو آهي ته جيڪڏهن يوٽيم سسٽم ڪال ناڪام ٿئي ٿي، پوء فائل جي مواد کي فائيل ميٽاداٽ جي طور تي تفسير ڪيو ويو آهي.
هي خصوصيت، جڏهن حملي آور جي ڪنٽرول ۾ سرور سان ڳنڍيل هجي، ته استعمال ڪندڙ جي FS ۾ ٻين فائلن جا نالا ۽ ٻيو مواد محفوظ ڪرڻ لاءِ استعمال ڪري سگهجي ٿو جڏهن scp استعمال ڪندي ڪاپي ڪئي ويندي آهي ترتيبن ۾ جيڪو utimes کي ڪال ڪرڻ وقت ناڪامي جو سبب بڻجندو آهي (مثال طور، جڏهن utimes SE پاليسي پاران منع ٿيل آهن).Linux (يا سسٽم ڪال فلٽر). حقيقي حملن جو امڪان گهٽ ۾ گهٽ هجڻ جو اندازو لڳايو ويو آهي، ڇاڪاڻ ته عام ترتيبن ۾، يوٽائمز ڪال ناڪام نه ٿيندي آهي. وڌيڪ، حملو خاموش نه هوندو آهي - ايس سي پي کي ڪال ڪرڻ وقت ڊيٽا ٽرانسفر جي غلطي جي رپورٽ ڪئي ويندي آهي.
عام تبديليون:
- sftp ۾، "-1" دليل جي پروسيسنگ کي روڪيو ويو آهي، جهڙوڪ ssh ۽ scp، جيڪو اڳ ۾ قبول ڪيو ويو پر نظرانداز ڪيو ويو؛
- sshd ۾، جڏهن IgnoreRhosts استعمال ڪري رهيا آهيو، اتي هاڻي ٽي چونڊون آهن: "ها" - نظر انداز ڪريو rhosts/shosts، "no" - rhosts/shosts جو احترام ڪريو، ۽ "shosts-only" - ".shosts" کي اجازت ڏيو پر ".rhosts" کي رد ڪريو؛
- Ssh ھاڻي ھٿ ڪري ٿو %TOKEN متبادل کي LocalFoward ۽ RemoteForward سيٽنگن ۾ استعمال ڪيو يونڪس ساکٽس کي ريڊائريڪٽ ڪرڻ لاءِ؛
- پرائيويٽ ڪيئي سان غير انڪريپٽ ٿيل فائل مان عوامي ڪيز کي لوڊ ڪرڻ جي اجازت ڏيو جيڪڏهن عوامي ڪيئي سان ڪا الڳ فائل نه آهي؛
- جيڪڏهن libcrypto سسٽم ۾ موجود آهي، ssh ۽ sshd هاڻي هن لائبريري مان چاچا 20 الگورتھم جي عمل درآمد کي استعمال ڪري ٿو، بلٽ ان پورٽبل عمل جي بدران، جيڪو ڪارڪردگي ۾ پوئتي آهي؛
- "ssh-keygen -lQf /path" حڪم تي عمل ڪرڻ دوران رد ٿيل سرٽيفڪيٽ جي بائنري لسٽ جي مواد کي ڊمپ ڪرڻ جي صلاحيت تي عمل ڪيو؛
- پورٽبل ورزن سسٽم جي وصفن کي لاڳو ڪري ٿو جنهن ۾ SA_RESTART اختيار سان سگنل چونڊڻ جي عمل ۾ مداخلت ڪن ٿا؛
- HP/UX ۽ AIX سسٽم تي تعميراتي مسئلا حل ڪيا ويا آهن؛
- ڪجھ ترتيبن ۾ seccomp سينڊ باڪس بلڊز سان مسئلا حل ڪيا ويا. Linux;
- بهتر libfido2 لائبريري جي ڳولا ۽ حل ٿيل تعميراتي مسئلن کي "--with-security-key-builtin" اختيار سان.
OpenSSH ڊولپرز پڻ هڪ ڀيرو ٻيهر خبردار ڪيو آهي ته SHA-1 هيشز استعمال ڪندي الگورتھم جي ايندڙ خراب ٿيڻ جي ڪري تصادم جي حملن جي اثرائتي هڪ ڏنل اڳڪٿي سان (هڪ ٽڪر کي چونڊڻ جي قيمت لڳ ڀڳ 45 هزار ڊالر آهي). ايندڙ رليز مان هڪ ۾، اهي ڊفالٽ طور تي غير فعال ڪرڻ جو ارادو رکن ٿا عوامي ڪيئي ڊجيٽل دستخط الگورتھم استعمال ڪرڻ جي صلاحيت "ssh-rsa"، جيڪو SSH پروٽوڪول لاءِ اصل RFC ۾ ذڪر ڪيو ويو آهي ۽ عملي طور تي وسيع رهي ٿو (استعمال کي جانچڻ لاءِ. توهان جي سسٽم ۾ ssh-rsa جو، توهان ssh ذريعي ڳنڍڻ جي ڪوشش ڪري سگهو ٿا اختيار سان "-oHostKeyAlgorithms=-ssh-rsa").
OpenSSH ۾ نئين الگورتھم جي منتقلي کي هموار ڪرڻ لاءِ، مستقبل ۾ رليز ڪيو ويندو UpdateHostKeys سيٽنگ ڊفالٽ طور تي فعال ٿي ويندي، جيڪا خودڪار طريقي سان ڪلائنٽ کي وڌيڪ قابل اعتماد الگورتھم ڏانھن منتقل ڪندي. لڏپلاڻ لاءِ تجويز ڪيل الگورتھم شامل آھن RFC2 RSA SHA-256 جي بنياد تي rsa-sha512-8332/2 (سپورٽ ٿيل آھي OpenSSH 7.2 کان ۽ ڊفالٽ طور استعمال ڪيو ويو آھي)، ssh-ed25519 (OpenSSH 6.5 کان وٺي سپورٽ ٿيل) ۽ ecdsa-sha2-nistp256/384/521 تي ٻڌل RFC5656 ECDSA تي (OpenSSH 5.7 کان سپورٽ ٿيل).
آخري رليز جي طور تي، "ssh-rsa" ۽ "diffie-hellman-group14-sha1" کي CASignatureAlgorithms جي فهرست مان ڪڍيو ويو آھي جيڪي نئين سرٽيفڪيشن کي ڊجيٽل طور تي سائن ڪرڻ جي اجازت ڏنل الگورتھم جي وضاحت ڪن ٿا، ڇاڪاڻ ته سرٽيفڪيٽن ۾ SHA-1 استعمال ڪرڻ سان اضافي خطرو آھي. ان ڪري ته حملي آور وٽ موجود سرٽيفڪيٽ لاءِ ٽڪراءُ جي ڳولا لاءِ لامحدود وقت آهي، جڏهن ته ميزبان ڪيچ تي حملي جو وقت ڪنيڪشن ٽائم آئوٽ (LoginGraceTime) جي ڪري محدود هوندو آهي.
جو ذريعو: opennet.ru
