புரோஹோஸ்டர் > Блог > இணைய செய்தி > ஓபன்எஸ்எஸ்எச் 8.3 வெளியீடு, எஸ்சிபி பாதிப்பு திருத்தம்

ஓபன்எஸ்எஸ்எச் 8.3 வெளியீடு, எஸ்சிபி பாதிப்பு திருத்தம்

மூன்று மாத வளர்ச்சிக்குப் பிறகு வழங்கப்பட்டது வெளியீடு OpenSSH 8.3, SSH 2.0 மற்றும் SFTP நெறிமுறைகள் வழியாக வேலை செய்வதற்கான திறந்த கிளையன்ட் மற்றும் சர்வர் செயல்படுத்தல்.

புதிய வெளியீடு scp தாக்குதல்களுக்கு எதிரான பாதுகாப்பைச் சேர்க்கிறது, இது சேவையகமானது கோரப்பட்ட கோப்புப் பெயர்களைத் தவிர (எதிர்ப்பாக கடந்த பாதிப்பு, பயனரால் தேர்ந்தெடுக்கப்பட்ட கோப்பகம் அல்லது குளோப் மாஸ்க்கை மாற்றுவதற்கு தாக்குதல் சாத்தியமில்லை). SCP இல், கிளையண்டிற்கு எந்த கோப்புகள் மற்றும் கோப்பகங்களை அனுப்ப வேண்டும் என்பதை சர்வர் தீர்மானிக்கிறது, மேலும் கிளையன்ட் திரும்பிய பொருள் பெயர்களின் சரியான தன்மையை மட்டுமே சரிபார்க்கிறது. அடையாளம் காணப்பட்ட சிக்கலின் சாராம்சம் என்னவென்றால், யூடைம்ஸ் சிஸ்டம் அழைப்பு தோல்வியுற்றால், கோப்பின் உள்ளடக்கங்கள் கோப்பு மெட்டாடேட்டாவாக விளக்கப்படும்.

இந்த அம்சம், தாக்குபவரால் கட்டுப்படுத்தப்படும் சேவையகத்துடன் இணைக்கும் போது, ​​பயனரின் FS இல் பிற கோப்புப் பெயர்கள் மற்றும் பிற உள்ளடக்கங்களைச் சேமிக்கப் பயன்படுத்தலாம் SELinux கொள்கை அல்லது கணினி அழைப்பு வடிகட்டி) . வழக்கமான உள்ளமைவுகளில் யூடைம்ஸ் அழைப்பு தோல்வியடைவதில்லை என்பதால், உண்மையான தாக்குதல்களின் சாத்தியக்கூறு குறைவாக இருக்கும் என மதிப்பிடப்பட்டுள்ளது. கூடுதலாக, தாக்குதல் கவனிக்கப்படாமல் போகாது - scp ஐ அழைக்கும்போது, ​​தரவு பரிமாற்ற பிழை காட்டப்படுகிறது.

பொதுவான மாற்றங்கள்:

  • sftp இல், ssh மற்றும் scp போன்ற “-1” வாதத்தின் செயலாக்கம் நிறுத்தப்பட்டது, இது முன்பு ஏற்றுக்கொள்ளப்பட்டது ஆனால் புறக்கணிக்கப்பட்டது;
  • sshd இல், IgnoreRhosts ஐப் பயன்படுத்தும் போது, ​​இப்போது மூன்று தேர்வுகள் உள்ளன: "yes" - rhosts/shosts ஐப் புறக்கணிக்கவும், "இல்லை" - rhosts/shosts, மற்றும் "shosts-மட்டும்" - ".shosts" ஐ அனுமதிக்கவும் ஆனால் ".rhosts" ஐ அனுமதிக்காது;
  • Ssh இப்போது Unix சாக்கெட்டுகளை திசைதிருப்ப பயன்படும் LocalFoward மற்றும் RemoteForward அமைப்புகளில் %TOKEN மாற்றீட்டை ஆதரிக்கிறது;
  • பொது விசையுடன் தனி கோப்பு இல்லை என்றால், தனிப்பட்ட விசையுடன் மறைகுறியாக்கப்பட்ட கோப்பில் இருந்து பொது விசைகளை ஏற்ற அனுமதிக்கவும்;
  • கணினியில் libcrypto இருந்தால், ssh மற்றும் sshd இப்போது இந்த நூலகத்திலிருந்து chacha20 அல்காரிதத்தை செயல்படுத்துவதைப் பயன்படுத்துகிறது, அதற்குப் பதிலாக செயல்திறனில் பின்தங்கியிருக்கும் உள்ளமைக்கப்பட்ட கையடக்க செயலாக்கத்திற்குப் பதிலாக;
  • "ssh-keygen -lQf /path" கட்டளையை இயக்கும் போது, ​​திரும்பப்பெறுதல் சான்றிதழ்களின் பைனரி பட்டியலில் உள்ள உள்ளடக்கங்களை டம்ப் செய்யும் திறனை செயல்படுத்தியது;
  • கையடக்க பதிப்பு அமைப்புகளின் வரையறைகளை செயல்படுத்துகிறது, இதில் SA_RESTART விருப்பத்துடன் கூடிய சிக்னல்கள் தேர்வின் செயல்பாட்டை குறுக்கிடுகின்றன;
  • HP/UX மற்றும் AIX சிஸ்டங்களில் அசெம்பிளி செய்வதில் உள்ள சிக்கல்கள் தீர்க்கப்பட்டன;
  • சில லினக்ஸ் உள்ளமைவுகளில் seccomp சாண்ட்பாக்ஸை உருவாக்குவதில் நிலையான சிக்கல்கள்;
  • மேம்படுத்தப்பட்ட libfido2 லைப்ரரி கண்டறிதல் மற்றும் "--with-security-key-builtin" விருப்பத்துடன் கட்டமைக்கும் சிக்கல்கள் தீர்க்கப்பட்டன.

OpenSSH டெவலப்பர்கள் SHA-1 ஹாஷ்களைப் பயன்படுத்தி அல்காரிதம்களின் வரவிருக்கும் சிதைவு பற்றி மீண்டும் எச்சரித்தனர். பதவி உயர்வு கொடுக்கப்பட்ட முன்னொட்டுடன் மோதல் தாக்குதல்களின் செயல்திறன் (மோதலைத் தேர்ந்தெடுப்பதற்கான செலவு தோராயமாக 45 ஆயிரம் டாலர்கள் என மதிப்பிடப்பட்டுள்ளது). வரவிருக்கும் வெளியீடுகளில் ஒன்றில், பொது விசை டிஜிட்டல் சிக்னேச்சர் அல்காரிதம் “ssh-rsa” ஐப் பயன்படுத்தும் திறனை முன்னிருப்பாக முடக்க அவர்கள் திட்டமிட்டுள்ளனர், இது SSH நெறிமுறைக்கான அசல் RFC இல் குறிப்பிடப்பட்டுள்ளது மற்றும் நடைமுறையில் பரவலாக உள்ளது (பயன்பாட்டைச் சோதிக்க உங்கள் கணினியில் ssh-rsa இன், “-oHostKeyAlgorithms=-ssh-rsa”) விருப்பத்துடன் ssh வழியாக இணைக்க முயற்சி செய்யலாம்.

OpenSSH இல் புதிய அல்காரிதங்களுக்கு மாற்றத்தை மென்மையாக்க, எதிர்கால வெளியீட்டில் UpdateHostKeys அமைப்பு இயல்பாகவே இயக்கப்படும், இது தானாகவே வாடிக்கையாளர்களை நம்பகமான வழிமுறைகளுக்கு மாற்றும். RFC2 RSA SHA-256 அடிப்படையிலான rsa-sha512-8332/2 (OpenSSH 7.2 இலிருந்து ஆதரிக்கப்படுகிறது மற்றும் முன்னிருப்பாகப் பயன்படுத்தப்படுகிறது), ssh-ed25519 (OpenSSH 6.5 இலிருந்து ஆதரிக்கப்படுகிறது) மற்றும் ecdsa-sha2-n256 அடிப்படையில் இடம்பெயர்வுக்கான பரிந்துரைக்கப்பட்ட வழிமுறைகள் அடங்கும். RFC384 ECDSA இல் (OpenSSH 521 இலிருந்து ஆதரிக்கப்படுகிறது).

கடைசி வெளியீட்டின்படி, "ssh-rsa" மற்றும் "diffie-hellman-group14-sha1" ஆகியவை CASignatureAlgorithms பட்டியலில் இருந்து அகற்றப்பட்டன, இது புதிய சான்றிதழ்களை டிஜிட்டல் முறையில் கையொப்பமிட அனுமதிக்கும் வழிமுறைகளை வரையறுக்கிறது, ஏனெனில் சான்றிதழ்களில் SHA-1ஐப் பயன்படுத்துவது கூடுதல் ஆபத்தை ஏற்படுத்துகிறது. இதன் காரணமாக, தாக்குபவர் ஏற்கனவே உள்ள சான்றிதழுக்கான மோதலைத் தேட வரம்பற்ற நேரத்தைக் கொண்டிருப்பார், அதே நேரத்தில் ஹோஸ்ட் விசைகள் மீதான தாக்குதலின் நேரம் இணைப்பு நேரம் முடிவதால் (LoginGraceTime) வரையறுக்கப்பட்டுள்ளது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்