සංවර්ධනය මාස තුනකට පසුව
නව නිකුතුව මඟින් ඉල්ලා සිටින ඒවාට වඩා වෙනත් ගොනු නාම සම්මත කිරීමට සේවාදායකයට ඉඩ සලසන scp ප්රහාරවලට එරෙහිව ආරක්ෂාව එක් කරයි (ප්රතිවිරුද්ධ ලෙස
මෙම විශේෂාංගය, ප්රහාරකයෙකු විසින් පාලනය කරන සේවාදායකයකට සම්බන්ධ වන විට, යූටයිම් ඇමතීමේදී අසාර්ථක වීමට තුඩු දෙන වින්යාසයන්හි scp භාවිතයෙන් පිටපත් කිරීමේදී පරිශීලකයාගේ FS හි වෙනත් ගොනු නාම සහ අනෙකුත් අන්තර්ගතයන් සුරැකීමට භාවිතා කළ හැක (උදාහරණයක් ලෙස, utimes තහනම් කර ඇති විට SELinux ප්රතිපත්තිය හෝ පද්ධති ඇමතුම් පෙරහන) . සාමාන්ය වින්යාසයන්හි utimes ඇමතුම අසාර්ථක නොවන බැවින්, සැබෑ ප්රහාරවල සම්භාවිතාව අවම වශයෙන් ඇස්තමේන්තු කර ඇත. ඊට අමතරව, ප්රහාරය නොපෙනී යන්නේ නැත - scp ඇමතීමේ දී, දත්ත හුවමාරු දෝෂයක් පෙන්වයි.
සාමාන්ය වෙනස්කම්:
- sftp හි, කලින් පිළිගත් නමුත් නොසලකා හරින ලද ssh සහ scp වලට සමාන “-1” තර්කය සැකසීම නතර කර ඇත;
- sshd හි, IgnoreRhosts භාවිතා කරන විට, දැන් තේරීම් තුනක් ඇත: "yes" - rhosts/shosts නොසලකා හරින්න, "no" - rhosts/shosts වලට ගරු කරන්න, සහ "shosts-only" - ".shosts" ට ඉඩ දෙන නමුත් ".rhosts" අබල කරන්න;
- Ssh දැන් Unix සොකට් යළි හරවා යැවීමට භාවිතා කරන LocalFoward සහ RemoteForward සැකසුම් තුළ %TOKEN ආදේශනය සඳහා සහය දක්වයි;
- පොදු යතුර සමඟ වෙනම ගොනුවක් නොමැති නම් පුද්ගලික යතුරක් සමඟ සංකේතනය නොකළ ගොනුවකින් පොදු යතුරු පැටවීමට ඉඩ දෙන්න;
- පද්ධතිය තුළ libcrypto තිබේ නම්, ssh සහ sshd දැන් මෙම පුස්තකාලයෙන් chacha20 ඇල්ගොරිතම ක්රියාත්මක කිරීම භාවිතා කරයි, කාර්ය සාධනයෙන් පසුගාමී වන බිල්ට්-ඉන් අතේ ගෙන යා හැකි ක්රියාත්මක කිරීම වෙනුවට;
- “ssh-keygen -lQf /path” විධානය ක්රියාත්මක කිරීමේදී අවලංගු කරන ලද සහතිකවල ද්විමය ලැයිස්තුවක අන්තර්ගතය ඩම්ප් කිරීමේ හැකියාව ක්රියාත්මක කර ඇත;
- අතේ ගෙන යා හැකි අනුවාදය මඟින් SA_RESTART විකල්පය සමඟ සංඥා තෝරා ගැනීමේ ක්රියාකාරිත්වයට බාධා කරන පද්ධතිවල අර්ථ දැක්වීම් ක්රියාත්මක කරයි;
- HP/UX සහ AIX පද්ධතිවල එකලස් කිරීමේ ගැටළු විසඳා ඇත;
- සමහර ලිනක්ස් වින්යාසයන් මත seccomp වැලිපිල්ල තැනීමේ ස්ථාවර ගැටළු;
- වැඩිදියුණු කළ libfido2 පුස්තකාල හඳුනාගැනීම සහ "--with-security-key-builtin" විකල්පය සමඟ ගොඩ නැගීමේ ගැටළු විසඳා ඇත.
OpenSSH සංවර්ධකයින් විසින් SHA-1 හෑෂ් භාවිතා කරමින් ඇල්ගොරිතමවල වියෝජනය ගැන නැවත වරක් අනතුරු ඇඟවීය.
OpenSSH හි නව ඇල්ගොරිතම වෙත සංක්රමණය සුමට කිරීමට, අනාගත නිකුතුවකදී UpdateHostKeys සැකසුම පෙරනිමියෙන් සක්රීය කරනු ඇත, එය ස්වයංක්රීයව සේවාදායකයින් වඩාත් විශ්වාසදායක ඇල්ගොරිතම වෙත සංක්රමණය කරයි. සංක්රමණය සඳහා නිර්දේශිත ඇල්ගොරිතම RFC2 RSA SHA-256 මත පදනම් වූ rsa-sha512-8332/2 (OpenSSH 7.2 සිට සහය දක්වන අතර පෙරනිමියෙන් භාවිතා වේ), ssh-ed25519 (OpenSSH 6.5 සිට සහය දක්වයි) සහ ecdsa-sha2-n256 පාදක කර ඇත. RFC384 ECDSA මත (OpenSSH 521 සිට සහය දක්වයි).
අවසාන නිකුතුව වන විට, "ssh-rsa" සහ "diffie-hellman-group14-sha1" CASignatureAlgorithms ලැයිස්තුවෙන් ඉවත් කර ඇත, එය නව සහතික ඩිජිටල් ලෙස අත්සන් කිරීමට අවසර දී ඇති ඇල්ගොරිතම නිර්වචනය කරයි, මන්ද සහතිකවල SHA-1 භාවිතා කිරීම අමතර අවදානමක් ඇති කරයි. එම නිසා ප්රහාරකයාට පවතින සහතිකයක් සඳහා ගැටුමක් සෙවීමට අසීමිත කාලයක් ඇති අතර, ධාරක යතුරු මත ප්රහාරයේ කාලය සම්බන්ධතා කල් ඉකුත්වීමෙන් සීමා වේ (LoginGraceTime).
මූලාශ්රය: opennet.ru