மூன்று மாத வளர்ச்சிக்குப் பிறகு
புதிய வெளியீடு scp தாக்குதல்களுக்கு எதிரான பாதுகாப்பைச் சேர்க்கிறது, இது சேவையகமானது கோரப்பட்ட கோப்புப் பெயர்களைத் தவிர (எதிர்ப்பாக
இந்த அம்சம், தாக்குபவரால் கட்டுப்படுத்தப்படும் சேவையகத்துடன் இணைக்கும் போது, பயனரின் FS இல் பிற கோப்புப் பெயர்கள் மற்றும் பிற உள்ளடக்கங்களைச் சேமிக்கப் பயன்படுத்தலாம் SELinux கொள்கை அல்லது கணினி அழைப்பு வடிகட்டி) . வழக்கமான உள்ளமைவுகளில் யூடைம்ஸ் அழைப்பு தோல்வியடைவதில்லை என்பதால், உண்மையான தாக்குதல்களின் சாத்தியக்கூறு குறைவாக இருக்கும் என மதிப்பிடப்பட்டுள்ளது. கூடுதலாக, தாக்குதல் கவனிக்கப்படாமல் போகாது - scp ஐ அழைக்கும்போது, தரவு பரிமாற்ற பிழை காட்டப்படுகிறது.
பொதுவான மாற்றங்கள்:
- sftp இல், ssh மற்றும் scp போன்ற “-1” வாதத்தின் செயலாக்கம் நிறுத்தப்பட்டது, இது முன்பு ஏற்றுக்கொள்ளப்பட்டது ஆனால் புறக்கணிக்கப்பட்டது;
- sshd இல், IgnoreRhosts ஐப் பயன்படுத்தும் போது, இப்போது மூன்று தேர்வுகள் உள்ளன: "yes" - rhosts/shosts ஐப் புறக்கணிக்கவும், "இல்லை" - rhosts/shosts, மற்றும் "shosts-மட்டும்" - ".shosts" ஐ அனுமதிக்கவும் ஆனால் ".rhosts" ஐ அனுமதிக்காது;
- Ssh இப்போது Unix சாக்கெட்டுகளை திசைதிருப்ப பயன்படும் LocalFoward மற்றும் RemoteForward அமைப்புகளில் %TOKEN மாற்றீட்டை ஆதரிக்கிறது;
- பொது விசையுடன் தனி கோப்பு இல்லை என்றால், தனிப்பட்ட விசையுடன் மறைகுறியாக்கப்பட்ட கோப்பில் இருந்து பொது விசைகளை ஏற்ற அனுமதிக்கவும்;
- கணினியில் libcrypto இருந்தால், ssh மற்றும் sshd இப்போது இந்த நூலகத்திலிருந்து chacha20 அல்காரிதத்தை செயல்படுத்துவதைப் பயன்படுத்துகிறது, அதற்குப் பதிலாக செயல்திறனில் பின்தங்கியிருக்கும் உள்ளமைக்கப்பட்ட கையடக்க செயலாக்கத்திற்குப் பதிலாக;
- "ssh-keygen -lQf /path" கட்டளையை இயக்கும் போது, திரும்பப்பெறுதல் சான்றிதழ்களின் பைனரி பட்டியலில் உள்ள உள்ளடக்கங்களை டம்ப் செய்யும் திறனை செயல்படுத்தியது;
- கையடக்க பதிப்பு அமைப்புகளின் வரையறைகளை செயல்படுத்துகிறது, இதில் SA_RESTART விருப்பத்துடன் கூடிய சிக்னல்கள் தேர்வின் செயல்பாட்டை குறுக்கிடுகின்றன;
- HP/UX மற்றும் AIX சிஸ்டங்களில் அசெம்பிளி செய்வதில் உள்ள சிக்கல்கள் தீர்க்கப்பட்டன;
- சில லினக்ஸ் உள்ளமைவுகளில் seccomp சாண்ட்பாக்ஸை உருவாக்குவதில் நிலையான சிக்கல்கள்;
- மேம்படுத்தப்பட்ட libfido2 லைப்ரரி கண்டறிதல் மற்றும் "--with-security-key-builtin" விருப்பத்துடன் கட்டமைக்கும் சிக்கல்கள் தீர்க்கப்பட்டன.
OpenSSH டெவலப்பர்கள் SHA-1 ஹாஷ்களைப் பயன்படுத்தி அல்காரிதம்களின் வரவிருக்கும் சிதைவு பற்றி மீண்டும் எச்சரித்தனர்.
OpenSSH இல் புதிய அல்காரிதங்களுக்கு மாற்றத்தை மென்மையாக்க, எதிர்கால வெளியீட்டில் UpdateHostKeys அமைப்பு இயல்பாகவே இயக்கப்படும், இது தானாகவே வாடிக்கையாளர்களை நம்பகமான வழிமுறைகளுக்கு மாற்றும். RFC2 RSA SHA-256 அடிப்படையிலான rsa-sha512-8332/2 (OpenSSH 7.2 இலிருந்து ஆதரிக்கப்படுகிறது மற்றும் முன்னிருப்பாகப் பயன்படுத்தப்படுகிறது), ssh-ed25519 (OpenSSH 6.5 இலிருந்து ஆதரிக்கப்படுகிறது) மற்றும் ecdsa-sha2-n256 அடிப்படையில் இடம்பெயர்வுக்கான பரிந்துரைக்கப்பட்ட வழிமுறைகள் அடங்கும். RFC384 ECDSA இல் (OpenSSH 521 இலிருந்து ஆதரிக்கப்படுகிறது).
கடைசி வெளியீட்டின்படி, "ssh-rsa" மற்றும் "diffie-hellman-group14-sha1" ஆகியவை CASignatureAlgorithms பட்டியலில் இருந்து அகற்றப்பட்டன, இது புதிய சான்றிதழ்களை டிஜிட்டல் முறையில் கையொப்பமிட அனுமதிக்கும் வழிமுறைகளை வரையறுக்கிறது, ஏனெனில் சான்றிதழ்களில் SHA-1ஐப் பயன்படுத்துவது கூடுதல் ஆபத்தை ஏற்படுத்துகிறது. இதன் காரணமாக, தாக்குபவர் ஏற்கனவே உள்ள சான்றிதழுக்கான மோதலைத் தேட வரம்பற்ற நேரத்தைக் கொண்டிருப்பார், அதே நேரத்தில் ஹோஸ்ட் விசைகள் மீதான தாக்குதலின் நேரம் இணைப்பு நேரம் முடிவதால் (LoginGraceTime) வரையறுக்கப்பட்டுள்ளது.
ஆதாரம்: opennet.ru