ఆరు నెలల అభివృద్ధి తర్వాత, క్లయింట్ యొక్క ఓపెన్ సోర్స్ ఇంప్లిమెంటేషన్ అయిన OpenSSH 10.3 విడుదల చేయబడింది. సర్వర్ SSH 2.0 మరియు SFTP ప్రోటోకాల్లతో ఉపయోగించడం కోసం. ముఖ్యమైన మార్పులు:
- ssh యుటిలిటీని ప్రారంభించేటప్పుడు పంపబడిన యూజర్నేమ్పై నియంత్రణ ఉన్న దాడి చేసే వ్యక్తి, ఇష్టానుసారమైన షెల్ కమాండ్లను అమలు చేయడానికి వీలు కల్పించే ఒక లోపాన్ని సరిదిద్దడం జరిగింది. "Match exec" వంటి కొన్ని కాన్ఫిగరేషన్ ఫైల్ ఆదేశాలలో "%u" ప్రత్యామ్నాయాన్ని ఉపయోగించే సిస్టమ్లలో ఈ లోపం సంభవిస్తుంది. ssh_config కాన్ఫిగరేషన్ ఫైల్లో %-ప్రత్యామ్నాయాలు చేసిన తర్వాత యూజర్నేమ్లోని ప్రత్యేక అక్షరాల ధ్రువీకరణ వలన ఈ సమస్య ఏర్పడుతుంది.
- ఒక సర్టిఫికేట్లోని పేర్ల (ప్రిన్సిపల్స్) జాబితాలో "," అక్షరం ఉన్నప్పుడు, `authorized_keys principals=""` అనే ఆప్షన్ ఆ పేర్లతో తప్పుగా సరిపోలడం వల్ల sshdలో ఏర్పడిన ఒక భద్రతా సమస్య పరిష్కరించబడింది. ఈ దుర్బలత్వాన్ని ఉపయోగించుకోవడానికి, `authorized_keys principals=""` ఆప్షన్లో బహుళ పేర్లను పేర్కొనడం మరియు CA కామాలతో వేరు చేయబడిన బహుళ పేర్లతో ఒక సర్టిఫికేట్ను జారీ చేయడం అవసరం (ఇది సాధారణంగా అనుమతించబడదు). ఖాళీ పేరు ఉన్న సర్టిఫికేట్ల ప్రవర్తన మార్చబడింది: గతంలో, ఖాళీ పేరు అన్ని `authorized_keys principals=""` ఆప్షన్ల పరిధిలోకి వచ్చేది, కానీ ఇప్పుడు అది పరిధిలోకి రాదు.
- scp లో ఒక సమస్యను పరిష్కరించడం జరిగింది, దీని ప్రకారం -O ఆప్షన్తో మరియు -p ఆప్షన్ లేకుండా రూట్గా ఫైల్ను అప్లోడ్ చేసినప్పుడు setuid/setgid ఫ్లాగ్లు క్లియర్ కావు.
- sshd లో, PubkeyAcceptedAlgorithms మరియు HostbasedAcceptedAlgorithms ఆదేశాలలో ECDSA కీలను నిర్వహించడంలో ఉన్న ఒక సమస్య పరిష్కరించబడింది. దీని కారణంగా, ఏదైనా ECDSA అల్గోరిథం (ఉదాహరణకు, "ecdsa-sha2-nistp384") పేర్కొనబడితే, ఇతర ECDSA-ఆధారిత అల్గోరిథంలన్నీ కూడా అంగీకరించబడతాయి, అవి స్పష్టంగా ఆమోదయోగ్యమైనవిగా జాబితా చేయబడకపోయినా సరే.
- SSH ఏజెంట్లతో ఇంటరాక్ట్ అయ్యేటప్పుడు, ssh మరియు sshd ఇప్పుడు draft-ietf-sshm-ssh-agent స్పెసిఫికేషన్లో IANA నిర్వచించిన ఐడెంటిఫైయర్లకు (కోడ్పాయింట్లకు) మద్దతు ఇస్తున్నాయి. "@openssh.com" వంటి గతంలో ఉపయోగించిన ఐడెంటిఫైయర్లకు మద్దతు కొనసాగుతుంది.
- ssh-agent, draft-ietf-sshm-ssh-agent స్పెసిఫికేషన్లో నిర్వచించబడిన "query" ఎక్స్టెన్షన్ను అమలు చేస్తుంది, ఇది ఏజెంట్ ద్వారా మద్దతు ఇవ్వబడిన ఫీచర్లను నిర్ధారించడానికి అనుమతిస్తుంది. మద్దతు ఉన్న ప్రోటోకాల్ ఎక్స్టెన్షన్ల జాబితాను క్వెరీ చేయడానికి ssh-add యుటిలిటీకి "-Q" ఆప్షన్ జోడించబడింది.
- sshd_configలో, RevokedKeys డైరెక్టివ్లో బహుళ ఫైల్లను పేర్కొనవచ్చు మరియు ssh_configలో, RevokedHostKeys డైరెక్టివ్లో బహుళ ఫైల్లను పేర్కొనవచ్చు.
- SSH లో ఇప్పుడు ప్రస్తుత కనెక్షన్ గురించిన సమాచారాన్ని ప్రదర్శించడానికి "~I" అనే ఎస్కేప్ కమాండ్ మరియు "-O conninfo" అనే ఆప్షన్, అలాగే ఓపెన్ ఛానెల్స్ గురించిన సమాచారాన్ని ప్రదర్శించడానికి "-O channels" అనే ఆప్షన్ ఉన్నాయి.
- sshdలో, PerSourcePenalties డైరెక్టివ్లో ఇప్పుడు ఉనికిలో లేని యూజర్తో లాగిన్ చేయడానికి ప్రయత్నించినప్పుడు ఆలస్యాన్ని (డిఫాల్ట్ 5 సెకన్లు) జోడించడానికి 'invaliduser' ఆప్షన్ చేర్చబడింది. పూర్ణాంకం కాని ఆలస్యం విలువలను పేర్కొనే సామర్థ్యం జోడించబడింది.
- క్లయింట్ అందించిన డెలిగేటెడ్ క్రెడెన్షియల్స్ స్వీకరణను నియంత్రించడానికి sshd లో GSSAPIDelegateCredentials అనే ఆప్షన్ జోడించబడింది.
- ssh-keygen ఇప్పుడు ED25519 కీలను PKCS8 ఫార్మాట్లో రాయడానికి మద్దతు ఇస్తుంది.
- libcrypto ద్వారా అమలు చేయబడిన ed25519 డిజిటల్ సిగ్నేచర్ స్కీమ్కు మద్దతు జోడించబడింది.
మూలం: opennet.ru
