SSH ڪلائنٽ ۾ OpenSSH ۽ PuTTY ( PuTTY ۾ ۽ OpenSSH ۾)، ڪنيڪشن ڳالهين جي الگورتھم ۾ معلومات جي رسيد جي ڪري. ڪمزوري هڪ حملي آور کي اجازت ڏئي ٿي ته ڪلائنٽ ٽرئفڪ کي روڪڻ جي قابل هجي (مثال طور، جڏهن صارف هڪ حملي ڪندڙ-ڪنٽرول وائرليس رسائي پوائنٽ ذريعي ڳنڍيندو آهي) شروعاتي طور تي ڪلائنٽ کي ميزبان سان ڳنڍڻ جي ڪوشش کي ڳولڻ لاء جڏهن ڪلائنٽ اڃا تائين ميزبان ڪيش کي ڪيش نه ڪيو آهي.
ڄاڻو ته ڪلائنٽ پهريون ڀيرو ڳنڍڻ جي ڪوشش ڪري رهيو آهي ۽ اڃا تائين ان جي پاسي تي ميزبان ڪيچ نه آهي، حملو ڪندڙ پاڻ (MITM) ذريعي ڪنيڪشن نشر ڪري سگهي ٿو ۽ ڪلائنٽ کي پنهنجي ميزبان کي ڏئي ٿو، جنهن تي SSH ڪلائنٽ غور ڪندو. ھدف ميزبان جي ڪنجي رھو جيڪڏھن اھو ڪنجي فنگر پرنٽ جي تصديق نٿو ڪري. اهڙيء طرح، هڪ حملو ڪندڙ MITM کي منظم ڪري سگهي ٿو بغير صارف جي شڪ کي پيدا ڪرڻ ۽ سيشن کي نظر انداز ڪري ٿو جنهن ۾ ڪلائنٽ پاسي اڳ ۾ ئي ميزبان ڪيچ کي محفوظ ڪري چڪو آهي، تبديل ڪرڻ جي ڪوشش جنهن جي نتيجي ۾ ميزبان ڪيچ جي تبديلي جي باري ۾ خبردار ڪيو ويندو. حملو انهن صارفين جي لاپرواهي تي مبني آهي جيڪي دستي طور تي ميزبان ڪي جي فنگر پرنٽ کي نه چيڪ ڪندا آهن جڏهن اهي پهريون ڀيرو ڳنڍيندا آهن. جيڪي ڪن آڱرين جا نشان چيڪ ڪندا آهن، اهي اهڙن حملن کان محفوظ هوندا آهن.
پهرين ڪنيڪشن جي ڪوشش کي طئي ڪرڻ لاء هڪ نشاني جي طور تي، لسٽنگ جي ترتيب ۾ تبديلي کي سپورٽ ڪيل ميزبان ڪي الگورٿم استعمال ڪيو ويندو آهي. جيڪڏهن پهريون ڪنيڪشن ٿئي ٿو، ڪلائنٽ ڊفالٽ الگورتھم جي هڪ فهرست منتقل ڪري ٿو، ۽ جيڪڏهن ميزبان ڪيچ اڳ ۾ ئي ڪيش ۾ آهي، پوء لاڳاپيل الگورٿم پهرين جاء تي رکيل آهي (الورورٿم ترجيحن جي ترتيب سان ترتيب ڏنل آهن).
مسئلو OpenSSH ۾ ظاهر ٿئي ٿو 5.7 کان 8.3 تائين ۽ PuTTY 0.68 کان 0.73 تائين. مسئلو مسئلي ۾ ميزبان ڪي پروسيسنگ الگورتھم جي فهرست جي متحرڪ تعمير کي غير فعال ڪرڻ لاءِ اختيار شامل ڪرڻ سان الورورٿمز کي مستقل ترتيب ۾ لسٽ ڪرڻ جي حق ۾.
OpenSSH پروجيڪٽ SSH ڪلائنٽ جي رويي کي تبديل ڪرڻ جو ارادو نٿو رکي، ڇو ته جيڪڏهن توهان پهرين جاء تي موجود ڪيچ جي الگورتھم کي بيان نه ڪندا، هڪ الورورٿم استعمال ڪرڻ جي ڪوشش ڪئي ويندي جيڪا ڪيش ڪيل ڪيچ سان مطابقت نه رکي ۽ اڻڄاتل چيڪ جي باري ۾ هڪ ڊيڄاريندڙ ڏيکاري ويندي. اهي. هڪ چونڊ پيدا ٿئي ٿي - يا ته معلومات جي لڪيج (OpenSSH ۽ PuTTY)، يا ڪي کي تبديل ڪرڻ بابت ڊيڄاريندڙ (ڊراپ بيئر SSH) جيڪڏهن محفوظ ڪيل ڪيئي ڊفالٽ لسٽ ۾ پهرين الگورتھم سان مطابقت نه رکي.
سيڪيورٽي مهيا ڪرڻ لاءِ، OpenSSH پيش ڪري ٿو متبادل طريقا ميزبان ڪي جي تصديق لاءِ استعمال ڪندي SSHFP داخلائن کي DNSSEC ۽ ميزبان سرٽيفڪيٽ (PKI). توهان HostKeyAlgorithms آپشن ذريعي ميزبان ڪيئي الگورٿمز جي موافقت واري چونڊ کي به غير فعال ڪري سگهو ٿا ۽ استعمال ڪريو UpdateHostKeys آپشن ته جيئن ڪلائنٽ کي تصديق ڪرڻ کان پوءِ اضافي ميزبان ڪيز حاصل ڪرڻ جي اجازت ڏين.
جو ذريعو: opennet.ru