మూడు నెలల అభివృద్ధి తర్వాత విడుదల , SSH 2.0 మరియు SFTP ప్రోటోకాల్ల ద్వారా పని చేయడానికి ఓపెన్ క్లయింట్ మరియు సర్వర్ అమలు.
కొత్త విడుదల scp దాడుల నుండి రక్షణను జోడిస్తుంది, ఇది సర్వర్ అభ్యర్థించిన వాటి కంటే ఇతర ఫైల్ పేర్లను పాస్ చేయడానికి అనుమతిస్తుంది (వ్యతిరేకంగా , దాడి వినియోగదారు ఎంచుకున్న డైరెక్టరీని లేదా గ్లోబ్ మాస్క్ని మార్చడం సాధ్యం కాదు). SCPలో, క్లయింట్కు ఏ ఫైల్లు మరియు డైరెక్టరీలను పంపాలో సర్వర్ నిర్ణయిస్తుందని గుర్తుంచుకోండి మరియు క్లయింట్ తిరిగి వచ్చిన ఆబ్జెక్ట్ పేర్ల యొక్క ఖచ్చితత్వాన్ని మాత్రమే తనిఖీ చేస్తుంది. గుర్తించబడిన సమస్య యొక్క సారాంశం ఏమిటంటే, utimes సిస్టమ్ కాల్ విఫలమైతే, ఫైల్ యొక్క కంటెంట్లు ఫైల్ మెటాడేటాగా వివరించబడతాయి.
దాడి చేసే వ్యక్తి నియంత్రించే సర్వర్కు కనెక్ట్ అయ్యేటప్పుడు, utimesను పిలవడంలో వైఫల్యానికి దారితీసే కాన్ఫిగరేషన్లలో (ఉదాహరణకు, SE పాలసీ ద్వారా utimes నిషేధించబడినప్పుడు), scp ఉపయోగించి కాపీ చేసేటప్పుడు ఇతర ఫైల్ పేర్లను మరియు ఇతర కంటెంట్ను యూజర్ యొక్క FSలో సేవ్ చేయడానికి ఈ ఫీచర్ను ఉపయోగించవచ్చు.Linux (లేదా సిస్టమ్ కాల్ ఫిల్టర్). నిజమైన దాడులు జరిగే అవకాశం చాలా తక్కువగా ఉంటుందని అంచనా వేయబడింది, ఎందుకంటే సాధారణ కాన్ఫిగరేషన్లలో, utimes కాల్ విఫలం కాదు. అంతేకాకుండా, ఈ దాడి నిశ్శబ్దంగా జరగదు—scpని కాల్ చేసినప్పుడు డేటా బదిలీ లోపం నివేదించబడుతుంది.
సాధారణ మార్పులు:
- sftpలో, ssh మరియు scp లాగానే “-1” ఆర్గ్యుమెంట్ ప్రాసెసింగ్ నిలిపివేయబడింది, ఇది గతంలో ఆమోదించబడింది కానీ విస్మరించబడింది;
- sshdలో, IgnoreRhostsని ఉపయోగిస్తున్నప్పుడు, ఇప్పుడు మూడు ఎంపికలు ఉన్నాయి: "అవును" - rhosts/shostsని విస్మరించండి, "no" - rhosts/shostsని గౌరవించండి మరియు "shosts-మాత్రమే" - ".shosts"ని అనుమతించండి కానీ ".rhosts"ని నిలిపివేయండి;
- Ssh ఇప్పుడు Unix సాకెట్లను దారి మళ్లించడానికి ఉపయోగించే LocalFoward మరియు RemoteForward సెట్టింగ్లలో %TOKEN ప్రత్యామ్నాయానికి మద్దతు ఇస్తుంది;
- పబ్లిక్ కీతో ప్రత్యేక ఫైల్ లేకపోతే ప్రైవేట్ కీతో ఎన్క్రిప్ట్ చేయని ఫైల్ నుండి పబ్లిక్ కీలను లోడ్ చేయడానికి అనుమతించండి;
- సిస్టమ్లో libcrypto అందుబాటులో ఉంటే, పనితీరులో వెనుకబడిన అంతర్నిర్మిత పోర్టబుల్ ఇంప్లిమెంటేషన్కు బదులుగా, ssh మరియు sshd ఇప్పుడు ఈ లైబ్రరీ నుండి chacha20 అల్గోరిథం యొక్క అమలును ఉపయోగిస్తాయి;
- “ssh-keygen -lQf /path” ఆదేశాన్ని అమలు చేస్తున్నప్పుడు ఉపసంహరించబడిన ధృవపత్రాల బైనరీ జాబితా యొక్క కంటెంట్లను డంప్ చేసే సామర్థ్యాన్ని అమలు చేసింది;
- పోర్టబుల్ వెర్షన్ సిస్టమ్ల నిర్వచనాలను అమలు చేస్తుంది, దీనిలో SA_RESTART ఎంపికతో సంకేతాలు ఎంపిక యొక్క ఆపరేషన్కు అంతరాయం కలిగిస్తాయి;
- HP/UX మరియు AIX సిస్టమ్లలో అసెంబ్లీతో సమస్యలు పరిష్కరించబడ్డాయి;
- కొన్ని కాన్ఫిగరేషన్లలో seccomp శాండ్బాక్స్ బిల్డ్లతో ఉన్న సమస్యలను పరిష్కరించడం జరిగింది. Linux;
- మెరుగుపరచబడిన libfido2 లైబ్రరీ గుర్తింపు మరియు "--with-security-key-builtin" ఎంపికతో బిల్డ్ సమస్యలు పరిష్కరించబడ్డాయి.
OpenSSH డెవలపర్లు SHA-1 హ్యాష్లను ఉపయోగించి అల్గారిథమ్ల రాబోయే కుళ్ళిపోవడాన్ని గురించి మరోసారి హెచ్చరించారు ఇచ్చిన ఉపసర్గతో తాకిడి దాడుల ప్రభావం (తాకిడిని ఎంచుకోవడానికి అయ్యే ఖర్చు సుమారు 45 వేల డాలర్లుగా అంచనా వేయబడింది). రాబోయే విడుదలలలో ఒకదానిలో, వారు పబ్లిక్ కీ డిజిటల్ సిగ్నేచర్ అల్గారిథమ్ “ssh-rsa”ని ఉపయోగించే సామర్థ్యాన్ని డిఫాల్ట్గా నిలిపివేయాలని ప్లాన్ చేస్తున్నారు, ఇది SSH ప్రోటోకాల్ కోసం అసలు RFCలో పేర్కొనబడింది మరియు ఆచరణలో విస్తృతంగా ఉంది (ఉపయోగాన్ని పరీక్షించడానికి. మీ సిస్టమ్లలో ssh-rsa యొక్క, మీరు “-oHostKeyAlgorithms=-ssh-rsa” ఎంపికతో ssh ద్వారా కనెక్ట్ చేయడానికి ప్రయత్నించవచ్చు).
OpenSSHలో కొత్త అల్గారిథమ్లకు పరివర్తనను సులభతరం చేయడానికి, భవిష్యత్ విడుదలలో UpdateHostKeys సెట్టింగ్ డిఫాల్ట్గా ప్రారంభించబడుతుంది, ఇది క్లయింట్లను మరింత విశ్వసనీయమైన అల్గారిథమ్లకు స్వయంచాలకంగా మైగ్రేట్ చేస్తుంది. మైగ్రేషన్ కోసం సిఫార్సు చేయబడిన అల్గారిథమ్లలో RFC2 RSA SHA-256 ఆధారంగా rsa-sha512-8332/2 ఉన్నాయి (OpenSSH 7.2 నుండి మద్దతు ఉంది మరియు డిఫాల్ట్గా ఉపయోగించబడుతుంది), ssh-ed25519 (OpenSSH 6.5 నుండి మద్దతు ఉంది) మరియు ecdsa-sha2/n256 ఆధారిత RFC384 ECDSAలో (OpenSSH 521 నుండి మద్దతు ఉంది).
చివరి విడుదల నాటికి, "ssh-rsa" మరియు "diffie-hellman-group14-sha1" CASignatureAlgorithms జాబితా నుండి తీసివేయబడ్డాయి, ఇది కొత్త ధృవపత్రాలపై డిజిటల్గా సంతకం చేయడానికి అనుమతించబడిన అల్గారిథమ్లను నిర్వచిస్తుంది, ఎందుకంటే SHA-1ని సర్టిఫికెట్లలో ఉపయోగించడం వలన అదనపు ప్రమాదం ఉంటుంది. దాడి చేసే వ్యక్తి ఇప్పటికే ఉన్న సర్టిఫికేట్ కోసం తాకిడి కోసం శోధించడానికి అపరిమితమైన సమయాన్ని కలిగి ఉంటాడు, అయితే హోస్ట్ కీలపై దాడి సమయం కనెక్షన్ గడువు ముగిసే సమయానికి పరిమితం చేయబడింది (LoginGraceTime).
మూలం: opennet.ru
