ProHoster > بلاگ > انٽرنيٽ خبرون > OpenSSH 9.8 جو ڇڏڻ DSA الگورتھم ۽ اضافي سيڪيورٽي ميڪانيزم کي غير فعال ڪرڻ سان

OpenSSH 9.8 جو ڇڏڻ DSA الگورتھم ۽ اضافي سيڪيورٽي ميڪانيزم کي غير فعال ڪرڻ سان

اوپن ايس ايڇ 9.8، ايس ايس ايڇ 2.0 ۽ ايس ايف ٽي پي لاءِ هڪ اوپن سورس ڪلائنٽ ۽ سرور عملدرآمد، جاري ڪيو ويو آهي. هڪ الڳ طور تي اعلان ڪيل نازڪ ڪمزوري (CVE-2024-6387) کي درست ڪرڻ کان علاوه جيڪو تصديق کان اڳ روٽ مراعات سان ريموٽ ڪوڊ عملدرآمد جي اجازت ڏئي سگهي ٿو، نئون نسخو هڪ ٻي گهٽ سخت ڪمزوري کي درست ڪري ٿو ۽ ڪيترائي اهم سيڪيورٽي بهتري متعارف ڪرائي ٿو.

ٻيو ڪمزوري اوپن ايس ايڇ 9.5 ۾ شامل ڪيل تحفظ کي نظرانداز ڪرڻ جي اجازت ڏئي ٿو سائڊ چينل حملن جي خلاف جيڪي ڪي اسٽروڪ جي وچ ۾ دير جو تجزيو ڪن ٿا ته جيئن ان پٽ کي ٻيهر ٺاهي سگهجي. هي ڪمزوري انهن پيڪٽن کي اجازت ڏئي ٿي جيڪي جعلي ڪي اسٽروڪ جي نقل ڪندي پس منظر جي سرگرمي پيدا ڪن ٿا حقيقي ڪي اسٽروڪ پاران موڪليل پيڪٽن کان الڳ ٿيڻ جي، ايس ايس ايڇ ٽرئفڪ ۾ انٽرايڪٽو ان پٽ کي لڪائڻ جي ميڪانيزم جي اثرائتي کي گهٽائي ٿي. هي ڪي اسٽروڪ ڊيٽا انهن حملن کي فعال ڪري ٿو جيڪي ٽائيپنگ دوران ڪي اسٽروڪ جي وچ ۾ دير جو تجزيو ڪندي ان پٽ کي ٻيهر ٺاهين ٿا، جيڪي ڪي بورڊ تي ڪي جي ترتيب تي منحصر آهن (مثال طور، "F" اکر ٽائيپ ڪرڻ "Q" يا "X" ٽائيپ ڪرڻ کان تيز آهي ڇاڪاڻ ته ان کي گهٽ آڱرين جي حرڪت جي ضرورت آهي).

وڌيڪ، اهو دريافت ڪيو ويو ته حقيقي ۽ جعلي ڪلڪن سان پيڪٽ موڪلڻ لاءِ لاڳو ڪيل الگورتھم سائڊ چينل حملن جي خلاف تحفظ جي ٻئي طريقي جي اعتبار کي گهٽائي ڇڏيو. رليز سان شروع ڪندي
اوپن ايس ايڇ 2.9.9 ايڪو آف موڊ ۾ ڪنسول ان پٽ لاءِ ڊمي ڪي اسٽروڪ تي مشتمل پيڪٽ موڪليا، مثال طور، جڏهن ايس يو يا سوڊو ۾ پاسورڊ داخل ڪيا ويندا هئا. ڊمي پيڪٽ موڪلڻ لاءِ نئين منطق غير فعال ٽرئفڪ تجزيي کي اجازت ڏني ته الڳ تجزيي لاءِ ايڪو آف موڊ ۾ حقيقي ڪي اسٽروڪ تي مشتمل پيڪٽ کي الڳ ڪري سگهجي. بهرحال، ڪي اسٽروڪ ٽائمنگ جي معلومات جي درستگي محدود آهي، ڇاڪاڻ ته ٽائيپ ڪرڻ کان پوءِ، پيڪٽ فوري طور تي نه موڪليا ويندا آهن، پر مقرر وقفن تي (ڊفالٽ طور 20 ايم ايس).

OpenSSH 9.8 ۾ ٻيون تبديليون:

  • ڊي ايس اي الگورتھم تي ٻڌل ڊجيٽل دستخطن جي سپورٽ بلڊ پروسيس دوران ڊفالٽ طور تي بند ڪئي وئي آهي. ڊي ايس اي جي عملدرآمد کي 2025 جي شروعات ۾ ڪوڊ بيس مان هٽايو ويندو. هٽائڻ جو سبب اهو آهي ته ڊي ايس اي جي سيڪيورٽي ليول جديد گهرجن کي پورو ڪرڻ لاءِ ڪافي ناهي. غير محفوظ ڊي ايس اي الگورتھم کي برقرار رکڻ جي قيمت غير منصفانه آهي، ۽ ان کي هٽائڻ ٻين ايس ايس ايڇ لاڳو ڪرڻ ۽ ڪرپٽوگرافڪ لائبريرين ۾ ڊي ايس اي سپورٽ جي گهٽتائي کي هٿي ڏيندو.
  • استحصال جي طريقن کان وڌيڪ بچاءُ لاءِ جن لاءِ sshd سان وڏي تعداد ۾ ڪنيڪشن جي ضرورت هوندي آهي، هڪ نئون تحفظ وارو طريقو لاڳو ڪيو ويو آهي ۽ ڊفالٽ طور تي فعال ڪيو ويو آهي. هي طريقو خودڪار پاسورڊ اندازو لڳائڻ جي حملن کي بلاڪ ڪرڻ ۾ پڻ مدد ڪري ٿو، جنهن ۾ بوٽ مختلف عام ميلاپن کي آزمائي صارف جي پاسورڊ جو اندازو لڳائڻ جي ڪوشش ڪندا آهن. هي تحفظ بلاڪنگ ذريعي لاڳو ڪيو ويندو آهي. IP پتا، جيڪو ناڪام ڪنيڪشن جي ڪوششن جي وڏي تعداد کي رڪارڊ ڪري ٿو، sshd چائلڊ پروسيس جي ختم ٿيڻ جي حالت جي نگراني ڪري ٿو، اهڙين حالتن کي ڳولي ٿو جتي تصديق ناڪام ٿي وئي يا عمل حادثي جي ڪري غير معمولي طور تي ختم ٿي ويو. جڏهن هڪ خاص حد کان وڌي ويندي آهي، اهو مشڪلاتي IPs يا سب نيٽس کان درخواستن کي بلاڪ ڪرڻ شروع ڪري ٿو. PerSourcePenalties، PerSourceNetBlockSize، ۽ PerSourcePenaltyExemptList پيرا ميٽر بلاڪنگ حد، بلاڪ ڪرڻ لاءِ سب نيٽ ماسڪ، ۽ خارج ڪرڻ جي فهرست کي ترتيب ڏيڻ لاءِ موجود آهن.
  • sshd کي ڪيترن ئي الڳ الڳ ايگزيڪيوٽو فائلن ۾ ورهايو ويو آهي. sshd-سيشن عمل، جيڪو سيشن سان لاڳاپيل ڪمن کي سنڀاليندو آهي، کي sshd کان الڳ ڪيو ويو آهي. sshd عمل نيٽ ورڪ ڪنيڪشن قبول ڪرڻ، ترتيب جي جانچ ڪرڻ، هوسٽ ڪيز لوڊ ڪرڻ، ۽ MaxStartups پيرا ميٽر جي مطابق لانچ ٿيل عملن کي منظم ڪرڻ جي ذميوار ڪمن کي برقرار رکي ٿو. اهڙيءَ طرح، sshd ايگزيڪيوٽو ۾ هاڻي گهٽ ۾ گهٽ ڪارڪردگي شامل آهي جيڪا هڪ نئين نيٽ ورڪ ڪنيڪشن کي قبول ڪرڻ ۽ سيشن کي سنڀالڻ لاءِ sshd-سيشن لانچ ڪرڻ لاءِ ضروري آهي.
  • لاگ ۾ لکيل ڪجهه غلطي پيغامن جو متن تبديل ٿي ويو آهي. خاص طور تي، ڪجهه پيغام هاڻي "sshd" جي بدران "sshd-سيشن" عمل جي طرفان موڪليا ويندا آهن.
  • ssh-keyscan يوٽيليٽي هاڻي پروٽوڪول ورزن ۽ هوسٽ نالي جي معلومات کي STDERR جي بدران معياري آئوٽ پُٽ ڏانهن آئوٽ پُٽ ڪري ٿي. "-q" آپشن هاڻي هن آئوٽ پُٽ کي غير فعال ڪرڻ لاءِ موجود آهي.
  • SSH وٽ هاڻي هوسٽ ڪي سرٽيفڪيٽ استعمال ڪرڻ کان وٺي سادي هوسٽ ڪيز استعمال ڪرڻ تائين فال بيڪ کي غير فعال ڪرڻ جي صلاحيت آهي HostkeyAlgorithms هدايت ذريعي.
  • sshd جو پورٽيبل ورجن هاڻي PAM سروس جو نالو طئي ڪرڻ لاءِ argv[0] ويليو استعمال نٿو ڪري. PAM سروس جو نالو بيان ڪرڻ لاءِ sshd_config ۾ هڪ نئون هدايت نامو، "PAMServiceName" شامل ڪيو ويو آهي. اهو ڊفالٽ طور تي "sshd" تي هوندو آهي.
  • sshd جو پورٽيبل ورزن يقيني بڻائي ٿو ته خودڪار طور تي ٺاهيل فائلون (configure script، config.h.in، وغيره) رليز سان Git برانچ ۾ محفوظ ڪيون وڃن (مثال طور، V_9_8)، جيڪو Git ۾ ڊجيٽل طور تي دستخط ٿيل ٽاربالز ۽ شاخن جي جوڙجڪ کي هم وقت سازي ڪرڻ ممڪن بڻائي ٿو.
  • ssh ۽ ssh-agent جو پورٽيبل ورجن موڊ سيٽ ڪرڻ جي صلاحيت فراهم ڪري ٿو
    WAYLAND_DISPLAY ماحولياتي متغير جي موجودگي ۾ SSH_ASKPASS، جيئن X11 لاءِ DISPLAY ماحولياتي متغير جي موجودگي ۾ ڪيو ويو هو.
  • sshd جو پورٽيبل ورجن سسٽم ڊي کي اطلاع موڪلڻ لاءِ سپورٽ شامل ڪري ٿو جڏهن هڪ ٻڌڻ وارو نيٽ ورڪ ساکٽ ٺاهيو ويندو آهي يا ٻيهر شروع ڪيو ويندو آهي، اسٽينڊلون ڪوڊ استعمال ڪندي جيڪو libsystemd لائبريري جو حوالو نٿو ڏئي.

جو ذريعو: opennet.ru