OpenSSH 9.8 இன் வெளியீடு வெளியிடப்பட்டது, இது SSH 2.0 மற்றும் SFTP நெறிமுறைகளைப் பயன்படுத்தி வேலை செய்வதற்கான கிளையன்ட் மற்றும் சேவையகத்தின் திறந்த செயலாக்கமாகும். தனித்தனியாக அறிவிக்கப்பட்ட முக்கியமான பாதிப்பை (CVE-2024-6387) சரிசெய்வதுடன், அங்கீகாரத்திற்கு முந்தைய கட்டத்தில் ரூட் சலுகைகளுடன் ரிமோட் குறியீடு செயல்படுத்தலை அனுமதிக்கிறது, புதிய பதிப்பு மற்றொரு குறைவான ஆபத்தான பாதிப்பை சரிசெய்து பாதுகாப்பை மேம்படுத்தும் நோக்கில் பல குறிப்பிடத்தக்க மாற்றங்களை முன்மொழிகிறது.
இரண்டாவது பாதிப்பு, உள்ளீட்டை மீண்டும் உருவாக்க விசைப்பலகையில் உள்ள விசை அழுத்தங்களுக்கு இடையிலான தாமதங்களை பகுப்பாய்வு செய்யும் பக்க-சேனல் தாக்குதல்களுக்கு எதிராக OpenSSH 9.5 இல் சேர்க்கப்பட்ட பாதுகாப்பைத் தவிர்க்க உங்களை அனுமதிக்கிறது. உண்மையான விசைகளை அழுத்தும் போது அனுப்பப்படும் பாக்கெட்டுகளிலிருந்து கற்பனையான விசை அழுத்தங்களை உருவகப்படுத்துவதன் மூலம் பின்னணி செயல்பாட்டை உருவாக்கும் பாக்கெட்டுகளை வேறுபடுத்தி அறிய இந்த பாதிப்பு நம்மை அனுமதிக்கிறது. கீஸ்ட்ரோக் தரவு, தட்டச்சு செய்யும் போது விசை அழுத்தங்களுக்கு இடையே உள்ள தாமதங்களை பகுப்பாய்வு செய்வதன் மூலம் உள்ளீட்டை மீண்டும் உருவாக்கும் தாக்குதல்களை செயல்படுத்துகிறது, இது விசைப்பலகையில் உள்ள விசைகளின் அமைப்பைப் பொறுத்தது (உதாரணமாக, "Q" அல்லது " என தட்டச்சு செய்வதை விட "F" என்ற எழுத்தை தட்டச்சு செய்யும் போது ஏற்படும் பதில் வேகமாக இருக்கும். X”, எனவே அழுத்துவதற்கு குறைவான விரல் அசைவு தேவைப்படுகிறது).
கூடுதலாக, உண்மையான மற்றும் கற்பனையான கிளிக்குகளுடன் பாக்கெட்டுகளை அனுப்புவதற்கான செயல்படுத்தப்பட்ட வழிமுறையானது பக்க-சேனல் தாக்குதல்களுக்கு எதிராக மற்றொரு பாதுகாப்பு முறையின் நம்பகத்தன்மையைக் குறைத்தது. வெளியானதிலிருந்து
OpenSSH 2.9.9 சர்வர் எக்கோ-ஆஃப் பயன்முறையில் கன்சோல் உள்ளீட்டிற்கான கற்பனையான கிளிக்குகளுடன் பாக்கெட்டுகளை அனுப்பியது, எடுத்துக்காட்டாக, su அல்லது sudo இல் கடவுச்சொற்களை உள்ளிடும்போது பயன்படுத்தப்பட்டது. கற்பனையான பாக்கெட்டுகளை அனுப்புவதற்கான புதிய தர்க்கம், செயலற்ற ட்ராஃபிக் பகுப்பாய்வின் போது, அவற்றின் தனிப் பகுப்பாய்விற்காக எக்கோ-ஆஃப் பயன்முறையில் உண்மையான கிளிக்குகளுடன் பாக்கெட்டுகளைத் தேர்ந்தெடுப்பதை சாத்தியமாக்கியது. அதே நேரத்தில், கிளிக்குகளின் நேரத்தைப் பற்றிய தகவலின் துல்லியம் குறைவாக உள்ளது, ஏனெனில் தட்டச்சு செய்த பிறகு, பாக்கெட்டுகள் உடனடியாக அனுப்பப்படுவதில்லை, ஆனால் நிலையான இடைவெளியில் (இயல்புநிலையாக 20 எம்எஸ்).
OpenSSH 9.8 இல் மற்ற மாற்றங்கள்:
- உருவாக்க நிலையில், டிஎஸ்ஏ அல்காரிதம் அடிப்படையிலான டிஜிட்டல் கையொப்பங்களுக்கான ஆதரவு இயல்பாகவே முடக்கப்படும். 2025 ஆம் ஆண்டின் தொடக்கத்தில் குறியீட்டு அடிப்படையிலிருந்து DSA செயல்படுத்தல் அகற்றப்படும். நவீன தேவைகளை பூர்த்தி செய்யாத DSA இன் பாதுகாப்பின் நிலையே நீக்குதலுக்கான காரணம் எனக் குறிப்பிடப்படுகிறது. பாதுகாப்பற்ற DSA அல்காரிதத்தை தொடர்ந்து பராமரிப்பதற்கான செலவு மதிப்புக்குரியது அல்ல, மேலும் அதை அகற்றுவது மற்ற SSH செயலாக்கங்கள் மற்றும் கிரிப்டோகிராஃபிக் லைப்ரரிகளில் DSA ஆதரவை நீக்குவதை ஊக்குவிக்கும்.
- sshd-க்கு அதிக எண்ணிக்கையிலான இணைப்புகள் தேவைப்படும் சுரண்டல் முறைகளுக்கு எதிராக மேலும் பாதுகாக்க, ஒரு புதிய பாதுகாப்பு முறை செயல்படுத்தப்பட்டு இயல்புநிலையாக இயக்கப்பட்டுள்ளது. இந்த முறை தானியங்கி கடவுச்சொல் யூகிக்கும் தாக்குதல்களைத் தடுக்கவும் உதவுகிறது, இதில் பல்வேறு வழக்கமான சேர்க்கைகளை முயற்சிப்பதன் மூலம் பாட்கள் பயனரின் கடவுச்சொல்லை யூகிக்க முயற்சிக்கும். இந்த பாதுகாப்பு தடுப்பதன் மூலம் செயல்படுத்தப்படுகிறது. ஐபி முகவரிகள், அதிக எண்ணிக்கையிலான தோல்வியுற்ற இணைப்பு முயற்சிகளைப் பதிவு செய்யும், sshd, சைல்டு செயல்முறைகளின் முடிவு நிலையைக் கண்காணித்து, அங்கீகாரம் தோல்வியடைந்த அல்லது செயலிழப்பு காரணமாக செயல்முறை அசாதாரணமாக நிறுத்தப்பட்ட சூழ்நிலைகளைக் கண்டறிந்து, ஒரு குறிப்பிட்ட வரம்பை மீறும் போது, அது சிக்கலான IPகள் அல்லது சப்நெட்டுகளிலிருந்து கோரிக்கைகளைத் தடுக்கத் தொடங்குகிறது. PerSourcePenalties, PerSourceNetBlockSize மற்றும் PerSourcePenaltyExemptList அளவுருக்கள் தடுக்கும் வரம்பு, தடுக்க வேண்டிய சப்நெட் மாஸ்க் மற்றும் விலக்கு பட்டியலை உள்ளமைக்க கிடைக்கின்றன.
- sshd பல தனித்தனி இயங்கக்கூடிய கோப்புகளாக பிரிக்கப்பட்டுள்ளது. அமர்வு செயலாக்கம் தொடர்பான பணிகளைச் செய்ய sshd-அமர்வு செயல்முறை sshd இலிருந்து ஒதுக்கப்படுகிறது. sshd செயல்முறையானது பிணைய இணைப்புகளை ஏற்றுக்கொள்வது, உள்ளமைவுகளைச் சரிபார்ப்பது, ஹோஸ்ட் விசைகளை ஏற்றுவது மற்றும் மேக்ஸ்ஸ்டார்டப்ஸ் அளவுருவின்படி தொடக்கச் செயல்முறைகளை நிர்வகித்தல் ஆகியவற்றுக்குப் பொறுப்பான செயல்பாடுகளைத் தக்க வைத்துக் கொள்கிறது. எனவே, sshd இயங்கக்கூடியது இப்போது ஒரு புதிய பிணைய இணைப்பை ஏற்று, அமர்வைக் கையாள sshd-அமர்வைத் தொடங்குவதற்குத் தேவையான குறைந்தபட்ச செயல்பாட்டைக் கொண்டுள்ளது.
- பதிவில் எழுதப்பட்ட சில பிழை செய்திகளின் உரை மாற்றப்பட்டுள்ளது. குறிப்பாக, இப்போது பல செய்திகள் "sshd" என்பதை விட "sshd-session" என்ற பெயரில் அனுப்பப்படுகின்றன.
- ssh-keyscan பயன்பாடு இப்போது நெறிமுறை பதிப்பு மற்றும் ஹோஸ்ட்பெயர் தகவலை STDERR க்கு பதிலாக நிலையான ஸ்ட்ரீமில் வெளியிடுகிறது. வெளியீட்டை முடக்க, "-q" விருப்பம் பரிந்துரைக்கப்படுகிறது.
- ssh இல், HostkeyAlgorithms கட்டளை வழியாக ஹோஸ்ட் கீ சான்றிதழைப் பயன்படுத்துவதிலிருந்து ப்ளைன் ஹோஸ்ட் கீகளைப் பயன்படுத்துவது வரை திரும்பப்பெறுதலை முடக்க முடியும்.
- PAM சேவையின் பெயரைத் தீர்மானிக்க sshd இன் போர்ட்டபிள் பதிப்பு இனி argv[0] மதிப்பைப் பயன்படுத்தாது. PAM சேவையின் பெயரை அமைக்க, "PAMServiceName" என்ற புதிய கட்டளை sshd_config இல் சேர்க்கப்பட்டுள்ளது, இது இயல்பாக "sshd" ஆக அமைக்கப்பட்டுள்ளது.
- sshd இன் போர்ட்டபிள் பதிப்பு தானாகவே உருவாக்கப்பட்ட கோப்புகள் (ஸ்கிரிப்ட், config.h.in, முதலியன உள்ளமை) ஒரு Git கிளையில் வெளியீடுகளுடன் சேமிக்கப்படுவதை உறுதி செய்கிறது (எடுத்துக்காட்டாக, V_9_8), இது டிஜிட்டல் கையொப்பமிடப்பட்ட தார் கலவையை ஒத்திசைப்பதை சாத்தியமாக்கியது. Git இல் உள்ள காப்பகங்கள் மற்றும் கிளைகள்.
- ssh மற்றும் ssh-agent இன் போர்ட்டபிள் பதிப்பு பயன்முறை அமைப்பை வழங்குகிறது
WAYLAND_DISPLAY சூழல் மாறியின் முன்னிலையில் SSH_ASKPASS, X11 க்கு DISPLAY சூழல் மாறியின் முன்னிலையில் இது எவ்வாறு செய்யப்பட்டது என்பதைப் போன்றது. - sshd இன் போர்ட்டபிள் பதிப்பு, libsystemd நூலகத்தை அழைக்காத தனித்த குறியீட்டைப் பயன்படுத்தி, கேட்கும் நெட்வொர்க் சாக்கெட் உருவாக்கப்படும்போது அல்லது மறுதொடக்கம் செய்யும்போது systemdக்கு அறிவிப்புகளை அனுப்புவதற்கான ஆதரவைச் சேர்க்கிறது.
ஆதாரம்: opennet.ru
