ProHoster > Blog > talafou initaneti > Fa'asa'olotoina o le OpenSSH 9.6 fa'atasi ai ma le fa'ate'aina o fa'afitauli

Fa'asa'olotoina o le OpenSSH 9.6 fa'atasi ai ma le fa'ate'aina o fa'afitauli

O le tatalaina o le OpenSSH 9.6 ua faʻasalalau, o se faʻatinoga tatala a le kalani ma le 'auʻaunaga mo le faʻaogaina o le SSH 2.0 ma le SFTP protocols. O le lomiga fou e faʻaleleia ai faʻafitauli saogalemu e tolu:

  • O se faʻafitauli i le SSH protocol (CVE-2023-48795, "Terrapin" osofaʻiga), lea e mafai ai e se MITM osofaʻiga e toe faʻafoʻi le fesoʻotaʻiga e faʻaogaina ai algorithms faʻamaonia le saogalemu ma faʻamalo le puipuiga mai osofaʻiga a le itu e toe faʻafoʻi ai le faʻaogaina e ala i le suʻeina o le tuai. i le va o ki i luga o le piano . O le auala osofaʻi o loʻo faʻamatalaina i se tala fou tala fou.
  • O se faʻafitauli i le aoga ssh e mafai ai ona suitulaga o faʻatonuga o atigi e ala i le faʻaogaina o le saini ma faʻatauga o loʻo i ai faʻamatalaga faʻapitoa. E mafai ona fa'aogaina le fa'aletonu pe afai e pulea e le tagata osofa'i le saini ma le fa'ailoga igoa e tu'u atu i le ssh, ProxyCommand ma LocalCommand fa'atonuga, po'o poloka "match exec" o lo'o i ai fa'ailoga fa'ailoga pei ole %u ma le %h. Mo se faʻataʻitaʻiga, e le saʻo le saini ma le talimalo e mafai ona sui i faiga e faʻaogaina ai submodules i Git, talu ai e le faʻasaina e Git le faʻamaonia o mataitusi faʻapitoa i le talimalo ma le faʻaoga igoa. O se fa'afitauli fa'apena fo'i e aliali mai i libssh.
  • Sa i ai se pusa i le ssh-agent lea, ina ua faaopoopo PKCS#11 private keys, sa na'o le ki muamua na toe faafoi mai e le PKCS#11 fa'ailoga. O le mataupu e le afaina ai ki masani masani, FIDO faʻailoga, poʻo ki e le faʻatapulaaina.

O isi suiga:

  • Faʻaopoopo le "%j" sui i le ssh, faʻalauteleina i le igoa talimalo faʻamaonia e ala i le ProxyJump faʻatonuga.
  • ssh ua faʻaopoopoina le lagolago mo le faʻatulagaina o le ChannelTimeout i luga o le itu o tagata o tausia, lea e mafai ona faʻaaogaina e faʻamutaina ai laina le aoga.
  • Fa'aopoopoina le lagolago mo le faitauina o ED25519 ki fa'apitoa i le PEM PKCS8 fa'atulagaina i le ssh, sshd, ssh-add ma ssh-keygen (muamua na'o OpenSSH format na lagolagoina).
  • Ua fa'aopoopoina le fa'aopoopoga o fa'asalalauga i le ssh ma le sshd e toe fetu'una'i ai saini fa'akomepiuta algorithms mo fa'amaoniga autu lautele pe a uma ona maua le igoa ole igoa. Mo se faʻataʻitaʻiga, faʻaaogaina le faʻaopoopoga, e mafai ona e faʻaogaina faʻaoga isi algorithms e faʻatatau i tagata faʻaoga e ala i le faʻamaonia o PubkeyAcceptedAlgorithms i le poloka "Match user".
  • Fa'aopoopoina se fa'aopoopoga fa'apolokalame i le ssh-add ma le ssh-agent e fa'atulaga tusipasi pe a fa'atūina PKCS#11 ki, fa'atagaina tusi pasi e feso'ota'i ma PKCS#11 ki fa'apitoa e fa'aoga i mea faigaluega uma a OpenSSH e lagolagoina le ssh-agent, ae le na'o le ssh.
  • Fa'aleleia atili le su'esu'eina o fu'a tu'ufa'atasi e le'i lagolagoina pe le mautu e pei o le "-fzero-call-used-regs" ile clang.
  • Ina ia faʻatapulaʻaina avanoa o le sshd process, o lomiga o OpenSolaris e lagolagoina le getpflags() faʻaoga faʻaoga le PRIV_XPOLICY mode nai lo PRIV_LIMIT.

puna: opennet.ru

Faaopoopo i ai se faamatalaga