OpenSSH 9.8 නිකුතුව ප්රකාශයට පත් කර ඇත, SSH 2.0 සහ SFTP ප්රොටෝකෝල භාවිතයෙන් වැඩ කිරීම සඳහා සේවාලාභියෙකුගේ සහ සේවාදායකයේ විවෘත ක්රියාත්මක කිරීමකි. පූර්ව සත්යාපනය කිරීමේ අදියරේදී මූල වරප්රසාද සමඟ දුරස්ථ කේත ක්රියාත්මක කිරීමට ඉඩ සලසන වෙනම ප්රකාශිත විවේචනාත්මක අවදානමක් (CVE-2024-6387) නිවැරදි කිරීමට අමතරව, නව අනුවාදය තවත් අඩු භයානක අවදානමක් නිවැරදි කරන අතර ආරක්ෂාව වැඩි දියුණු කිරීම අරමුණු කරගත් සැලකිය යුතු වෙනස්කම් කිහිපයක් යෝජනා කරයි.
දෙවන අවදානම මඟින් ඔබට ආදානය ප්රතිනිර්මාණය කිරීම සඳහා යතුරුපුවරුවේ යතුරු එබීම් අතර ප්රමාදයන් විශ්ලේෂණය කරන පැති-නාලිකා ප්රහාරවලට එරෙහිව OpenSSH 9.5 හි එකතු කරන ලද ආරක්ෂාව මඟ හැරීමට ඔබට ඉඩ සලසයි. ssh හි මාර්ග තදබදයේ අන්තර්ක්රියාකාරී ආදානයේ විශේෂාංග සැඟවීමේ යාන්ත්රණයේ සඵලතාවය අඩු කරන සැබෑ යතුරු එබූ විට යවන ලද පැකට් වලින් කල්පිත යතුරු එබීම් අනුකරණය කිරීමෙන් පසුබිම් ක්රියාකාරකම් නිර්මාණය කරන පැකට් වෙන්කර හඳුනා ගැනීමට අවදානම අපට ඉඩ සලසයි. යතුරු පහර දත්ත යතුරුපුවරුවේ යතුරු පිරිසැලසුම මත රඳා පවතින, ටයිප් කිරීමේදී යතුරු එබීම් අතර ප්රමාදයන් විශ්ලේෂණය කිරීමෙන් ආදානය ප්රතිනිර්මාණය කරන ප්රහාර සක්රීය කරයි (උදාහරණයක් ලෙස, "F" අක්ෂරය ටයිප් කිරීමේදී ලැබෙන ප්රතිචාරය "Q" හෝ " ටයිප් කරන විට වඩා වේගවත් වේ. X”, එබීමෙන් අඩු ඇඟිලි චලනය අවශ්ය වන පරිදි).
ඊට අමතරව, සැබෑ සහ කල්පිත ක්ලික් කිරීම් සමඟ පැකට් යැවීම සඳහා ක්රියාත්මක කරන ලද ඇල්ගොරිතම පැති නාලිකා ප්රහාරවලින් ආරක්ෂා වීමේ වෙනත් ක්රමයක විශ්වසනීයත්වය අඩු කර ඇති බව පෙනී ගියේය. නිකුත් වූ දා සිට
OpenSSH 2.9.9 සේවාදායකය echo-off මාදිලියේ කොන්සෝල ආදානය සඳහා ව්යාජ යතුරු පහර අඩංගු යවන ලද පැකට්, උදාහරණයක් ලෙස, su හෝ sudo හි මුරපද ඇතුළත් කිරීමේදී භාවිතා කරන ලදී. ව්යාජ පැකට් යැවීම සඳහා වූ නව තර්කනය මඟින් නිෂ්ක්රීය ගමනාගමන විශ්ලේෂණයට echo-off මාදිලියේ සැබෑ යතුරු පහර අඩංගු පැකට් වෙනම විශ්ලේෂණයක් සඳහා හුදකලා කිරීමට ඉඩ ලබා දෙන ලදී. කෙසේ වෙතත්, යතුරු පහර කාල තොරතුරු වල නිරවද්යතාවය සීමිතය, මන්ද ටයිප් කිරීමෙන් පසු පැකට් වහාම යවනු නොලැබේ, නමුත් ස්ථාවර කාල පරතරයන්හිදී (පෙරනිමියෙන් 20 ms).
OpenSSH 9.8 හි වෙනත් වෙනස්කම්:
- ගොඩනැගීමේ අදියරේදී, DSA ඇල්ගොරිතම මත පදනම් වූ ඩිජිටල් අත්සන් සඳහා සහය පෙරනිමියෙන් අබල කර ඇත. DSA ක්රියාත්මක කිරීම 2025 මුලදී කේත පදනමෙන් ඉවත් කෙරේ. මකාදැමීමට හේතුව නවීන අවශ්යතා සපුරාලන්නේ නැති DSA හි ආරක්ෂණ මට්ටම ලෙස දක්වා ඇත. අනාරක්ෂිත DSA ඇල්ගොරිතමයක් පවත්වා ගෙන යාමේ පිරිවැය එය වටින්නේ නැත, එය ඉවත් කිරීම අනෙකුත් SSH ක්රියාත්මක කිරීම් සහ ගුප්ත ලේඛන පුස්තකාලවල DSA සහාය ක්ෂය කිරීම දිරිමත් කරනු ඇත.
- sshd වෙත විශාල සම්බන්ධතා සංඛ්යාවක් අවශ්ය වන සූරාකෑමේ ක්රමවලින් තවදුරටත් ආරක්ෂා වීම සඳහා, නව ආරක්ෂණ මාදිලියක් ක්රියාත්මක කර පෙරනිමියෙන් සක්රීය කර ඇත. මෙම මාදිලිය ස්වයංක්රීය මුරපද අනුමාන ප්රහාර අවහිර කිරීමට ද උපකාරී වේ, එහිදී බොට් විවිධ සාමාන්ය සංයෝජන උත්සාහ කිරීමෙන් පරිශීලකයාගේ මුරපදය අනුමාන කිරීමට උත්සාහ කරයි. මෙම ආරක්ෂාව අවහිර කිරීම හරහා ක්රියාත්මක වේ. IP ලිපින, අසාර්ථක සම්බන්ධතා උත්සාහයන් විශාල සංඛ්යාවක් වාර්තා කරන, sshd ළමා ක්රියාවලීන් අවසන් කිරීමේ තත්ත්වය නිරීක්ෂණය කරයි, සත්යාපනය අසාර්ථක වූ අවස්ථා හෝ බිඳවැටීමක් හේතුවෙන් ක්රියාවලිය අසාමාන්ය ලෙස අවසන් වූ අවස්ථා හඳුනා ගනී. යම් සීමාවක් ඉක්මවා ගිය විට, එය ගැටළු සහගත IP හෝ උපජාල වලින් ඉල්ලීම් අවහිර කිරීමට පටන් ගනී. PerSourcePenalties, PerSourceNetBlockSize සහ PerSourcePenaltyExemptList පරාමිතීන් අවහිර කිරීමේ සීමාව, අවහිර කිරීමට උපජාල ආවරණය සහ බැහැර කිරීමේ ලැයිස්තුව වින්යාස කිරීම සඳහා ලබා ගත හැකිය.
- sshd වෙනම ක්රියාත්මක කළ හැකි ගොනු කිහිපයකට බෙදා ඇත. සැසි සැකසීමට අදාළ කාර්යයන් ඉටු කිරීම සඳහා sshd-සැසි ක්රියාවලිය sshd වෙතින් වෙන් කරනු ලැබේ. MaxStartup පරාමිතියට අනුකූලව ජාල සම්බන්ධතා පිළිගැනීම, වින්යාස කිරීම් පරීක්ෂා කිරීම, ධාරක යතුරු පැටවීම සහ ආරම්භක ක්රියාවලීන් කළමනාකරණය කිරීම සඳහා වගකිව යුතු කාර්යයන් sshd ක්රියාවලිය රඳවා ගනී. මේ අනුව, sshd ක්රියාත්මක කළ හැකි දැන් නව ජාල සම්බන්ධතාවයක් පිළිගැනීමට සහ සැසිය හැසිරවීමට sshd-session ආරම්භ කිරීමට අවශ්ය අවම ක්රියාකාරීත්වය අඩංගු වේ.
- ලොගයට ලියා ඇති සමහර දෝෂ පණිවිඩවල පෙළ වෙනස් වී ඇත. විශේෂයෙන්ම, දැන් පණිවිඩ ගණනාවක් "sshd" වෙනුවට "sshd-session" ක්රියාවලිය යටතේ යවනු ලැබේ.
- ssh-keyscan උපයෝගීතාව දැන් STDERR වෙනුවට ප්රොටෝකෝල අනුවාදය සහ ධාරක නාම තොරතුරු සම්මත ප්රවාහයට ප්රතිදානය කරයි. ප්රතිදානය අක්රිය කිරීමට, "-q" විකල්පය යෝජනා කෙරේ.
- ssh හි, HostkeyAlgorithms විධානය හරහා ධාරක යතුරු සහතිකයක් භාවිතයෙන් සරල ධාරක යතුරු භාවිතා කිරීම දක්වා ආපසු හැරීම අක්රිය කළ හැකිය.
- PAM සේවා නාමය තීරණය කිරීමට sshd හි අතේ ගෙන යා හැකි අනුවාදය තවදුරටත් argv[0] අගය භාවිතා නොකරයි. PAM සේවාවේ නම සැකසීමට, "PAMServiceName" නව විධානයක් sshd_config වෙත එක් කර ඇත, එය පෙරනිමියෙන් "sshd" ලෙස සකසා ඇත.
- sshd හි අතේ ගෙන යා හැකි අනුවාදය මඟින් ස්වයංක්රීයව ජනනය කරන ලද ගොනු (ස්ක්රිප්ට් වින්යාස කිරීම, config.h.in, ආදිය) Git ශාඛාවක නිකුතු සහිත (උදාහරණයක් ලෙස, V_9_8) සුරැකීම සහතික කරයි, එමඟින් ඩිජිටල් ලෙස අත්සන් කරන ලද තාර සංයුතිය සමමුහුර්ත කිරීමට හැකි විය. Git හි ලේඛනාගාර සහ ශාඛා.
- ssh සහ ssh-agent හි අතේ ගෙන යා හැකි අනුවාදය මාදිලි සැකසුම සපයයි
SSH_ASKPASS WAYLAND_DISPLAY පරිසර විචල්යය හමුවේ, X11 සඳහා මෙය DISPLAY පරිසර විචල්යය හමුවේ සිදු කළ ආකාරය හා සමානයි. - sshd හි අතේ ගෙන යා හැකි අනුවාදය, libsystemd පුස්තකාලය අමතන්නේ නැති ස්වාධීන කේතයක් භාවිතා කරමින්, සවන්දීමේ ජාල සොකට් එකක් සාදන විට හෝ නැවත ආරම්භ කරන විට, systemd වෙත දැනුම්දීම් යැවීම සඳහා සහය එක් කරයි.
මූලාශ්රය: opennet.ru
