OpenSSH 9.6 இன் வெளியீடு வெளியிடப்பட்டது, இது SSH 2.0 மற்றும் SFTP நெறிமுறைகளைப் பயன்படுத்தி வேலை செய்வதற்கான கிளையன்ட் மற்றும் சேவையகத்தின் திறந்த செயலாக்கமாகும். புதிய பதிப்பு மூன்று பாதுகாப்பு சிக்கல்களை சரிசெய்கிறது:
- SSH நெறிமுறையில் (CVE-2023-48795, “டெர்ராபின்” தாக்குதல்) ஒரு பாதிப்பு, இது MITM தாக்குதலை குறைந்த பாதுகாப்பான அங்கீகார அல்காரிதம்களைப் பயன்படுத்த இணைப்பைத் திரும்பப் பெற அனுமதிக்கிறது மற்றும் தாமதங்களை பகுப்பாய்வு செய்வதன் மூலம் உள்ளீட்டை மீண்டும் உருவாக்கும் பக்க-சேனல் தாக்குதல்களுக்கு எதிரான பாதுகாப்பை முடக்குகிறது. விசைப்பலகையில் விசை அழுத்தங்களுக்கு இடையில். தாக்குதல் முறை ஒரு தனி செய்தி கட்டுரையில் விவரிக்கப்பட்டுள்ளது.
- உள்நுழைவு மற்றும் சிறப்பு எழுத்துக்களைக் கொண்ட ஹோஸ்ட் மதிப்புகளைக் கையாளுவதன் மூலம் தன்னிச்சையான ஷெல் கட்டளைகளை மாற்றுவதற்கு அனுமதிக்கும் ssh பயன்பாட்டில் உள்ள பாதிப்பு. ssh, ProxyCommand மற்றும் LocalCommand வழிமுறைகள் அல்லது %u மற்றும் %h போன்ற வைல்டு கார்டு எழுத்துக்களைக் கொண்ட "மேட்ச் எக்சிக்" தொகுதிகளுக்கு அனுப்பப்பட்ட உள்நுழைவு மற்றும் ஹோஸ்ட்பெயர் மதிப்புகளை தாக்குபவர் கட்டுப்படுத்தினால், பாதிப்பைப் பயன்படுத்திக் கொள்ளலாம். எடுத்துக்காட்டாக, தவறான உள்நுழைவு மற்றும் ஹோஸ்ட் ஆகியவை Git இல் துணை தொகுதிகளைப் பயன்படுத்தும் கணினிகளில் மாற்றப்படலாம், ஏனெனில் ஹோஸ்ட் மற்றும் பயனர் பெயர்களில் சிறப்பு எழுத்துக்களைக் குறிப்பிடுவதை Git தடை செய்யாது. இதேபோன்ற பாதிப்பு libssh லும் தோன்றும்.
- ssh-agent இல் ஒரு பிழை ஏற்பட்டது, PKCS#11 தனிப்பட்ட விசைகளைச் சேர்க்கும்போது, PKCS#11 டோக்கன் மூலம் வழங்கப்பட்ட முதல் விசைக்கு மட்டுமே கட்டுப்பாடுகள் பயன்படுத்தப்பட்டன. வழக்கமான தனிப்பட்ட விசைகள், FIDO டோக்கன்கள் அல்லது கட்டுப்பாடற்ற விசைகளை இந்தச் சிக்கல் பாதிக்காது.
மற்ற மாற்றங்கள்:
- ssh க்கு "%j" மாற்றீடு சேர்க்கப்பட்டது, ப்ராக்ஸிஜம்ப் உத்தரவு மூலம் குறிப்பிடப்பட்ட ஹோஸ்ட்பெயராக விரிவடைகிறது.
- கிளையன்ட் பக்கத்தில் ChannelTimeout ஐ அமைப்பதற்கான ஆதரவை ssh சேர்த்துள்ளது, இது செயலற்ற சேனல்களை நிறுத்தப் பயன்படும்.
- ED25519 தனிப்பட்ட விசைகளை PEM PKCS8 வடிவத்தில் ssh, sshd, ssh-add மற்றும் ssh-keygen (முன்பு OpenSSH வடிவம் மட்டுமே ஆதரிக்கப்பட்டது) ஆகியவற்றில் படிப்பதற்கான ஆதரவு சேர்க்கப்பட்டது.
- பயனர்பெயர் பெறப்பட்ட பிறகு பொது விசை அங்கீகாரத்திற்கான டிஜிட்டல் சிக்னேச்சர் அல்காரிதம்களை மறுபரிசீலனை செய்ய ssh மற்றும் sshd க்கு ஒரு நெறிமுறை நீட்டிப்பு சேர்க்கப்பட்டுள்ளது. எடுத்துக்காட்டாக, நீட்டிப்பைப் பயன்படுத்தி, "பயனர் பொருத்தம்" தொகுதியில் PubkeyAcceptedAlgorithms ஐக் குறிப்பிடுவதன் மூலம் பயனர்கள் தொடர்பான பிற அல்காரிதங்களைத் தேர்ந்தெடுத்துப் பயன்படுத்தலாம்.
- PKCS#11 விசைகளை ஏற்றும் போது சான்றிதழ்களை அமைக்க ssh-add மற்றும் ssh-agent க்கு ஒரு நெறிமுறை நீட்டிப்பு சேர்க்கப்பட்டது, PKCS#11 தனிப்பட்ட விசைகளுடன் தொடர்புடைய சான்றிதழ்களை ssh-ஏஜென்ட்டை ஆதரிக்கும் அனைத்து OpenSSH பயன்பாடுகளிலும் பயன்படுத்த அனுமதிக்கிறது, ssh மட்டும் அல்ல.
- கிளாங்கில் "-fzero-call-used-regs" போன்ற ஆதரிக்கப்படாத அல்லது நிலையற்ற கம்பைலர் கொடிகளை மேம்படுத்தப்பட்ட கண்டறிதல்.
- sshd செயல்முறையின் சிறப்புரிமைகளைக் கட்டுப்படுத்த, getpflags() இடைமுகத்தை ஆதரிக்கும் OpenSolaris பதிப்புகள் PRIV_LIMITக்குப் பதிலாக PRIV_XPOLICY பயன்முறையைப் பயன்படுத்துகின்றன.
ஆதாரம்: opennet.ru