ڇهن مهينن جي ترقي کان پوء، OpenSSH 8.9 جي ڇڏڻ، هڪ کليل ڪلائنٽ ۽ سرور تي عمل درآمد SSH 2.0 ۽ SFTP پروٽوڪول تي ڪم ڪرڻ لاء، پيش ڪيو ويو. sshd جو نئون ورزن هڪ خطري کي حل ڪري ٿو جيڪو ممڪن طور تي غير تصديق ٿيل رسائي جي اجازت ڏئي سگهي ٿو. مسئلو تصديقي ڪوڊ ۾ انٽيجر اوور فلو جي سبب آهي، پر صرف ڪوڊ ۾ ٻين منطقي غلطين سان ميلاپ ۾ استحصال ڪري سگهجي ٿو.
ان جي موجوده شڪل ۾، ڪمزوريءَ جو استحصال نه ٿو ڪري سگھجي جڏهن استحقاق جي علحدگيءَ واري موڊ کي فعال ڪيو ويو آهي، ڇاڪاڻ ته ان جي ظاهر کي روڪيو ويو آهي الڳ الڳ چيڪن جي ذريعي جيڪي استحقاق جي علحدگيءَ واري ٽريڪنگ ڪوڊ ۾ ڪيا ويا آهن. 2002 کان OpenSSH 3.2.2 کان ڊفالٽ طور استحقاق علحدگيءَ واري موڊ کي فعال ڪيو ويو آھي، ۽ 7.5 ۾ شايع ٿيل OpenSSH 2017 جي رليز ٿيڻ کان وٺي لازمي آھي. ان کان علاوه، OpenSSH جي پورٽيبل ورزن ۾ رليز 6.5 (2014) سان شروع ٿئي ٿو، انٽيجر اوور فلو تحفظ جي جھنڊن کي شامل ڪرڻ سان گڏ ڪرڻ سان نقصان کي روڪيو ويو آھي.
ٻيون تبديليون:
- sshd ۾ OpenSSH جو پورٽيبل ورزن MD5 الورورٿم استعمال ڪندي پاسورڊ هيش ڪرڻ لاءِ اصلي سپورٽ کي ختم ڪري ڇڏيو آهي (ٻاهرين لائبريرين سان ڳنڍڻ جي اجازت ڏئي ٿو جهڙوڪ libxcrypt واپسي).
- ssh، sshd، ssh-add، ۽ ssh-agent هڪ سبسسٽم لاڳو ڪريو فارورڊنگ ۽ استعمال کي محدود ڪرڻ لاءِ ssh-agent ۾ شامل ڪيل چابيون. سب سسٽم توهان کي قاعدن کي سيٽ ڪرڻ جي اجازت ڏئي ٿو جيڪو اهو طئي ڪري ٿو ته ssh-agent ۾ ڪيچ ڪيئن ۽ ڪٿي استعمال ٿي سگهن ٿيون. مثال طور، هڪ ڪي شامل ڪرڻ لاءِ جيڪو صرف استعمال ڪري سگهجي ٿو تصديق ڪرڻ لاءِ استعمال ڪندڙ ڪنهن به صارف کي جيڪو هوسٽ scylla.example.org سان ڳنڍي رهيو آهي، صارف perseus ميزبان cetus.example.org ڏانهن، ۽ استعمال ڪندڙ ميڊيا ميزبان charybdis.example.org ڏانهن. وچولي ميزبان scylla.example.org ذريعي ريڊائريڪشن سان، توھان ھيٺ ڏنل حڪم استعمال ڪري سگھو ٿا: $ssh-add -h "[ايميل محفوظ ٿيل]" \ -h "scylla.example.org" \ -h "scylla.example.org>[ايميل محفوظ ٿيل]~/.ssh/id_ed25519
- ssh ۽ sshd ۾، KexAlgorithms لسٽ ۾ ڊفالٽ طور ھڪ ھائبرڊ الگورٿم شامل ڪيو ويو آھي، جيڪو ترتيب ڏئي ٿو جنھن ۾ ڪيئي مٽاسٽا جا طريقا چونڊيل آھن.[ايميل محفوظ ٿيل]"(ECDH/x25519 + NTRU Prime)، ڪوانٽم ڪمپيوٽرن تي چونڊ لاءِ مزاحمتي. OpenSSH 8.9 ۾، هي ڳالهين جو طريقو ECDH ۽ DH طريقن جي وچ ۾ شامل ڪيو ويو، پر اهو منصوبو آهي ته ايندڙ رليز ۾ ڊفالٽ طور تي فعال ڪيو وڃي.
- ssh-keygen، ssh، ۽ ssh-agent ڊوائيس جي تصديق لاءِ استعمال ٿيندڙ FIDO ٽوڪن ڪيز جي سنڀال کي بهتر بڻايو آهي، بشمول بايوميٽرڪ تصديق لاءِ ڪنجيون.
- شامل ڪيو ويو "ssh-keygen -Y match-principals" حڪم ssh-keygen کي اجازت ڏنل نالو لسٽ ۾ استعمال ڪندڙن جا نالا چيڪ ڪرڻ لاءِ.
- ssh-add ۽ ssh-agent ssh-agent ۾ PIN ڪوڊ پاران محفوظ ڪيل FIDO ڪيز شامل ڪرڻ جي صلاحيت مهيا ڪن ٿا (پن جي درخواست تصديق جي وقت ڏيکاري ويندي آهي).
- ssh-keygen دستخط پيدا ڪرڻ دوران hashing algorithm (sha512 يا sha256) جي چونڊ جي اجازت ڏئي ٿو.
- ssh ۽ sshd ۾، ڪارڪردگي کي بهتر ڪرڻ لاء، نيٽ ورڪ ڊيٽا سڌو سنئون ايندڙ پيڪيٽس جي بفر ۾ پڙهي ويندي آهي، اسٽيڪ تي وچولي بفرنگ کي پاس ڪندي. ھڪڙي چينل بفر ۾ وصول ڪيل ڊيٽا جي سڌي طرح ھڪڙي طريقي سان لاڳو ڪئي وئي آھي.
- ssh ۾، PubkeyAuthentication جي هدايت کي وڌايو ويو آهي سپورٽ ٿيل پيرا ميٽرز جي فهرست (yes|no|unbound|host-bound) استعمال ڪرڻ لاءِ پروٽوڪول جي واڌ کي چونڊڻ جي صلاحيت مهيا ڪرڻ لاءِ.
مستقبل جي رليز ۾، اسان SCP/RCP پروٽوڪول جي بدران SFTP استعمال ڪرڻ لاءِ scp افاديت جي ڊفالٽ کي تبديل ڪرڻ جو منصوبو ڪريون ٿا. SFTP وڌيڪ پيش گوئي ڪندڙ نالو ھٿ ڪرڻ جا طريقا استعمال ڪري ٿو ۽ ٻئي ميزبان جي پاسي تي فائل نالن ۾ گلوب نمونن جي شيل پروسيسنگ کي استعمال نٿو ڪري، جيڪو سيڪيورٽي مسئلا پيدا ڪري ٿو. خاص طور تي، جڏهن SCP ۽ RCP استعمال ڪندي، سرور فيصلو ڪري ٿو ته ڪهڙن فائلن ۽ ڊائريڪٽرن کي ڪلائنٽ ڏانهن موڪلڻ لاء، ۽ ڪلائنٽ صرف واپس ڪيل اعتراض جي نالن جي صحيحيت جي جانچ ڪري ٿو، جيڪو، ڪلائنٽ جي پاسي تي صحيح چيڪن جي غير موجودگي ۾، اجازت ڏئي ٿو. سرور ٻين فائلن جا نالا منتقل ڪرڻ لاء جيڪي درخواست ڪيل کان مختلف آھن. SFTP پروٽوڪول ۾ اهي مسئلا نه آهن، پر خاص رستن جي توسيع جي حمايت نه ڪندو آهي جهڙوڪ "~/". ھن فرق کي حل ڪرڻ لاءِ، OpenSSH جي پوئين رليز ھڪ نئين SFTP پروٽوڪول ايڪسٽينشن کي متعارف ڪرايو ~/ ۽ ~ استعمال ڪندڙ/ رستا کي SFTP سرور جي عمل ۾.
جو ذريعو: opennet.ru