మూడు నెలల అభివృద్ధి తర్వాత విడుదల , SSH 2.0 మరియు SFTP ప్రోటోకాల్ల ద్వారా పని చేయడానికి ఓపెన్ క్లయింట్ మరియు సర్వర్ అమలు.
కొత్త విడుదల scp దాడుల నుండి రక్షణను జోడిస్తుంది, ఇది సర్వర్ అభ్యర్థించిన వాటి కంటే ఇతర ఫైల్ పేర్లను పాస్ చేయడానికి అనుమతిస్తుంది (వ్యతిరేకంగా , దాడి వినియోగదారు ఎంచుకున్న డైరెక్టరీని లేదా గ్లోబ్ మాస్క్ని మార్చడం సాధ్యం కాదు). SCPలో, క్లయింట్కు ఏ ఫైల్లు మరియు డైరెక్టరీలను పంపాలో సర్వర్ నిర్ణయిస్తుందని గుర్తుంచుకోండి మరియు క్లయింట్ తిరిగి వచ్చిన ఆబ్జెక్ట్ పేర్ల యొక్క ఖచ్చితత్వాన్ని మాత్రమే తనిఖీ చేస్తుంది. గుర్తించబడిన సమస్య యొక్క సారాంశం ఏమిటంటే, utimes సిస్టమ్ కాల్ విఫలమైతే, ఫైల్ యొక్క కంటెంట్లు ఫైల్ మెటాడేటాగా వివరించబడతాయి.
దాడి చేసేవారిచే నియంత్రించబడే సర్వర్కి కనెక్ట్ అయినప్పుడు, ఈ ఫీచర్ వినియోగ సమయాలకు కాల్ చేస్తున్నప్పుడు వైఫల్యానికి దారితీసే కాన్ఫిగరేషన్లలో scpని ఉపయోగించి కాపీ చేసేటప్పుడు వినియోగదారు FSలో ఇతర ఫైల్ పేర్లు మరియు ఇతర కంటెంట్ను సేవ్ చేయడానికి ఉపయోగించవచ్చు (ఉదాహరణకు, utimes నిషేధించబడినప్పుడు SELinux విధానం లేదా సిస్టమ్ కాల్ ఫిల్టర్) . సాధారణ కాన్ఫిగరేషన్లలో యుటైమ్స్ కాల్ విఫలం కానందున, నిజమైన దాడుల సంభావ్యత తక్కువగా ఉంటుందని అంచనా వేయబడింది. అదనంగా, దాడి గుర్తించబడదు - scpకి కాల్ చేస్తున్నప్పుడు, డేటా బదిలీ లోపం చూపబడుతుంది.
సాధారణ మార్పులు:
- sftpలో, ssh మరియు scp లాగానే “-1” ఆర్గ్యుమెంట్ ప్రాసెసింగ్ నిలిపివేయబడింది, ఇది గతంలో ఆమోదించబడింది కానీ విస్మరించబడింది;
- sshdలో, IgnoreRhostsని ఉపయోగిస్తున్నప్పుడు, ఇప్పుడు మూడు ఎంపికలు ఉన్నాయి: "అవును" - rhosts/shostsని విస్మరించండి, "no" - rhosts/shostsని గౌరవించండి మరియు "shosts-మాత్రమే" - ".shosts"ని అనుమతించండి కానీ ".rhosts"ని నిలిపివేయండి;
- Ssh ఇప్పుడు Unix సాకెట్లను దారి మళ్లించడానికి ఉపయోగించే LocalFoward మరియు RemoteForward సెట్టింగ్లలో %TOKEN ప్రత్యామ్నాయానికి మద్దతు ఇస్తుంది;
- పబ్లిక్ కీతో ప్రత్యేక ఫైల్ లేకపోతే ప్రైవేట్ కీతో ఎన్క్రిప్ట్ చేయని ఫైల్ నుండి పబ్లిక్ కీలను లోడ్ చేయడానికి అనుమతించండి;
- సిస్టమ్లో libcrypto అందుబాటులో ఉంటే, పనితీరులో వెనుకబడిన అంతర్నిర్మిత పోర్టబుల్ ఇంప్లిమెంటేషన్కు బదులుగా, ssh మరియు sshd ఇప్పుడు ఈ లైబ్రరీ నుండి chacha20 అల్గోరిథం యొక్క అమలును ఉపయోగిస్తాయి;
- “ssh-keygen -lQf /path” ఆదేశాన్ని అమలు చేస్తున్నప్పుడు ఉపసంహరించబడిన ధృవపత్రాల బైనరీ జాబితా యొక్క కంటెంట్లను డంప్ చేసే సామర్థ్యాన్ని అమలు చేసింది;
- పోర్టబుల్ వెర్షన్ సిస్టమ్ల నిర్వచనాలను అమలు చేస్తుంది, దీనిలో SA_RESTART ఎంపికతో సంకేతాలు ఎంపిక యొక్క ఆపరేషన్కు అంతరాయం కలిగిస్తాయి;
- HP/UX మరియు AIX సిస్టమ్లలో అసెంబ్లీతో సమస్యలు పరిష్కరించబడ్డాయి;
- కొన్ని Linux కాన్ఫిగరేషన్లలో seccomp శాండ్బాక్స్ను నిర్మించడంలో సమస్యలు పరిష్కరించబడ్డాయి;
- మెరుగుపరచబడిన libfido2 లైబ్రరీ గుర్తింపు మరియు "--with-security-key-builtin" ఎంపికతో బిల్డ్ సమస్యలు పరిష్కరించబడ్డాయి.
OpenSSH డెవలపర్లు SHA-1 హ్యాష్లను ఉపయోగించి అల్గారిథమ్ల రాబోయే కుళ్ళిపోవడాన్ని గురించి మరోసారి హెచ్చరించారు ఇచ్చిన ఉపసర్గతో తాకిడి దాడుల ప్రభావం (తాకిడిని ఎంచుకోవడానికి అయ్యే ఖర్చు సుమారు 45 వేల డాలర్లుగా అంచనా వేయబడింది). రాబోయే విడుదలలలో ఒకదానిలో, వారు పబ్లిక్ కీ డిజిటల్ సిగ్నేచర్ అల్గారిథమ్ “ssh-rsa”ని ఉపయోగించే సామర్థ్యాన్ని డిఫాల్ట్గా నిలిపివేయాలని ప్లాన్ చేస్తున్నారు, ఇది SSH ప్రోటోకాల్ కోసం అసలు RFCలో పేర్కొనబడింది మరియు ఆచరణలో విస్తృతంగా ఉంది (ఉపయోగాన్ని పరీక్షించడానికి. మీ సిస్టమ్లలో ssh-rsa యొక్క, మీరు “-oHostKeyAlgorithms=-ssh-rsa” ఎంపికతో ssh ద్వారా కనెక్ట్ చేయడానికి ప్రయత్నించవచ్చు).
OpenSSHలో కొత్త అల్గారిథమ్లకు పరివర్తనను సులభతరం చేయడానికి, భవిష్యత్ విడుదలలో UpdateHostKeys సెట్టింగ్ డిఫాల్ట్గా ప్రారంభించబడుతుంది, ఇది క్లయింట్లను మరింత విశ్వసనీయమైన అల్గారిథమ్లకు స్వయంచాలకంగా మైగ్రేట్ చేస్తుంది. మైగ్రేషన్ కోసం సిఫార్సు చేయబడిన అల్గారిథమ్లలో RFC2 RSA SHA-256 ఆధారంగా rsa-sha512-8332/2 ఉన్నాయి (OpenSSH 7.2 నుండి మద్దతు ఉంది మరియు డిఫాల్ట్గా ఉపయోగించబడుతుంది), ssh-ed25519 (OpenSSH 6.5 నుండి మద్దతు ఉంది) మరియు ecdsa-sha2/n256 ఆధారిత RFC384 ECDSAలో (OpenSSH 521 నుండి మద్దతు ఉంది).
చివరి విడుదల నాటికి, "ssh-rsa" మరియు "diffie-hellman-group14-sha1" CASignatureAlgorithms జాబితా నుండి తీసివేయబడ్డాయి, ఇది కొత్త ధృవపత్రాలపై డిజిటల్గా సంతకం చేయడానికి అనుమతించబడిన అల్గారిథమ్లను నిర్వచిస్తుంది, ఎందుకంటే SHA-1ని సర్టిఫికెట్లలో ఉపయోగించడం వలన అదనపు ప్రమాదం ఉంటుంది. దాడి చేసే వ్యక్తి ఇప్పటికే ఉన్న సర్టిఫికేట్ కోసం తాకిడి కోసం శోధించడానికి అపరిమితమైన సమయాన్ని కలిగి ఉంటాడు, అయితే హోస్ట్ కీలపై దాడి సమయం కనెక్షన్ గడువు ముగిసే సమయానికి పరిమితం చేయబడింది (LoginGraceTime).
మూలం: opennet.ru