Sanggeus genep bulan pangwangunan ngabebaskeun , klien kabuka sarta palaksanaan server pikeun digawé via SSH 2.0 jeung protokol SFTP.
Perhatian khusus dina rilis énggal nyaéta ngaleungitkeun kerentanan anu mangaruhan ssh, sshd, ssh-add sareng ssh-keygen. Masalahna aya dina kode pikeun ngémutan konci pribadi sareng jinis XMSS sareng ngamungkinkeun panyerang pikeun memicu overflow integer. Kerentanan ieu ditandaan salaku exploitable, tapi saeutik gunana, saprak rojongan pikeun konci XMSS mangrupa fitur ékspériméntal nu ditumpurkeun sacara standar (versi portabel malah teu boga pilihan ngawangun di autoconf pikeun ngaktipkeun XMSS).
Parobahan utama:
- Dina ssh, sshd sareng ssh-agén kode nu nyegah recovery sahiji konci swasta lokasina di RAM salaku hasil tina serangan sisi-kanal, kayaning , и . Konci swasta ayeuna énkripsi nalika dimuat kana mémori sareng ngan ukur didekripsi nalika dianggo, sésa énkripsi sesa waktosna. Kalayan pendekatan ieu, pikeun suksés ngabalikeun konci pribadi, panyerang kedah ngabalikeun heula konci perantara anu dihasilkeun sacara acak ukuranana 16 KB, dianggo pikeun énkripsi konci utama, anu henteu mungkin dipasihan tingkat kasalahan pamulihan anu khas tina serangan modern;
- В Ditambahkeun pangrojong ékspérimén pikeun skéma saderhana pikeun nyiptakeun sareng pariksa tanda tangan digital. Tanda tangan digital tiasa didamel nganggo konci SSH biasa anu disimpen dina disk atanapi dina ssh-agén, sareng diverifikasi nganggo anu sami sareng authorized_keys . Inpormasi namespace diwangun kana tanda tangan digital pikeun ngahindarkeun kabingungan nalika dianggo di daérah anu béda (contona, pikeun email sareng file);
- ssh-keygen geus switched sacara standar pikeun ngagunakeun algoritma rsa-sha2-512 nalika validating sertipikat jeung signature digital dumasar kana hiji konci RSA (lamun gawe dina modeu CA). Sertipikat sapertos kitu henteu cocog sareng sékrési sateuacan OpenSSH 7.2 (pikeun mastikeun kasaluyuan, jinis algoritma kedah ditimpa, contona ku nelepon "ssh-keygen -t ssh-rsa -s ...");
- Dina ssh, éksprési ProxyCommand ayeuna ngadukung ékspansi substitusi "%n" (hostname anu dieusian dina bar alamat);
- Dina daptar algoritma enkripsi pikeun ssh sareng sshd, anjeun ayeuna tiasa nganggo karakter "^" pikeun nyelapkeun algoritma standar. Contona, pikeun nambahkeun ssh-ed25519 kana daptar standar, Anjeun bisa nangtukeun "HostKeyAlgorithm ^ssh-ed25519";
- ssh-keygen nyadiakeun kaluaran komentar napel konci nalika extracting konci publik ti hiji swasta;
- Ditambahkeun kamampuhan pikeun ngagunakeun "-v" bandéra dina ssh-keygen nalika ngajalankeun operasi lookup konci (Contona, "ssh-keygen -vF host"), nangtukeun nu ngakibatkeun signature host visual;
- Ditambahkeun kamampuan ngagunakeun salaku format alternatif pikeun nyimpen kenop swasta dina disk. Format PEM terus dianggo sacara standar, sareng PKCS8 tiasa mangpaat pikeun ngahontal kasaluyuan sareng aplikasi pihak katilu.
sumber: opennet.ru