ఆరు నెలల అభివృద్ధి తర్వాత, SSH 8.9 మరియు SFTP ప్రోటోకాల్లపై పనిచేయడానికి ఓపెన్ఎస్ఎస్హెచ్ 2.0, ఓపెన్ క్లయింట్ మరియు సర్వర్ ఇంప్లిమెంటేషన్ విడుదల చేయబడింది. sshd యొక్క కొత్త వెర్షన్ ప్రామాణీకరించబడని ప్రాప్యతను అనుమతించగల ఒక దుర్బలత్వాన్ని పరిష్కరిస్తుంది. ప్రామాణీకరణ కోడ్లో పూర్ణాంకం ఓవర్ఫ్లో కారణంగా సమస్య ఏర్పడింది, అయితే కోడ్లోని ఇతర తార్కిక లోపాలతో కలిపి మాత్రమే ఉపయోగించుకోవచ్చు.
దాని ప్రస్తుత రూపంలో, ప్రివిలేజ్ సెపరేషన్ మోడ్ ప్రారంభించబడినప్పుడు దుర్బలత్వం ఉపయోగించబడదు, ఎందుకంటే ప్రివిలేజ్ సెపరేషన్ ట్రాకింగ్ కోడ్లో ప్రదర్శించబడే ప్రత్యేక తనిఖీల ద్వారా దాని అభివ్యక్తి బ్లాక్ చేయబడుతుంది. ప్రివిలేజ్ సెపరేషన్ మోడ్ OpenSSH 2002 నుండి 3.2.2 నుండి డిఫాల్ట్గా ప్రారంభించబడింది మరియు 7.5లో ప్రచురించబడిన OpenSSH 2017 విడుదల నుండి తప్పనిసరి. అదనంగా, 6.5 (2014) విడుదలతో ప్రారంభమయ్యే OpenSSH యొక్క పోర్టబుల్ వెర్షన్లలో, పూర్ణాంక ఓవర్ఫ్లో ప్రొటెక్షన్ ఫ్లాగ్లను చేర్చడం ద్వారా సంకలనం చేయడం ద్వారా దుర్బలత్వం నిరోధించబడుతుంది.
ఇతర మార్పులు:
- sshdలోని OpenSSH యొక్క పోర్టబుల్ వెర్షన్ MD5 అల్గారిథమ్ని ఉపయోగించి పాస్వర్డ్లను హ్యాషింగ్ చేయడానికి స్థానిక మద్దతును తీసివేసింది (లిబ్ఎక్స్క్రిప్ట్ వంటి బాహ్య లైబ్రరీలతో లింకింగ్ చేయడాన్ని అనుమతిస్తుంది).
- ssh, sshd, ssh-add మరియు ssh-agent ssh-agent కి జోడించిన కీల బదిలీ మరియు వాడకాన్ని పరిమితం చేయడానికి ఒక ఉపవ్యవస్థను అమలు చేస్తాయి. ssh-agent లో కీలను ఎలా మరియు ఎక్కడ ఉపయోగించవచ్చో నిర్ణయించే నియమాలను సెట్ చేయడానికి ఉపవ్యవస్థ మిమ్మల్ని అనుమతిస్తుంది. ఉదాహరణకు, ఏదైనా వినియోగదారు హోస్ట్ scylla.example.org కి కనెక్ట్ అయినప్పుడు మాత్రమే ప్రామాణీకరించడానికి ఉపయోగించగల కీని జోడించడానికి, వినియోగదారు perseus హోస్ట్ cetus.example.org కు కనెక్ట్ అవుతారు మరియు ఇంటర్మీడియట్ హోస్ట్ scylla.example.org ద్వారా దారి మళ్లింపుతో హోస్ట్ charybdis.example.org కు వినియోగదారు medea ని జోడించడానికి, మీరు ఈ క్రింది ఆదేశాన్ని ఉపయోగించవచ్చు: $ ssh-add -h "perseus@cetus.example.org" \ -h "scylla.example.org" \ -h "scylla.example.org>medea@charybdis.example.org" \ ~/.ssh/id_ed25519
- ssh మరియు sshd లలో, క్వాంటం కంప్యూటర్లలో బ్రూట్ ఫోర్స్కు నిరోధకత కలిగిన హైబ్రిడ్ అల్గోరిథం "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime) డిఫాల్ట్గా KexAlgorithms జాబితాకు జోడించబడింది, ఇది కీ మార్పిడి పద్ధతులను ఎంచుకునే క్రమాన్ని నిర్ణయిస్తుంది. OpenSSH 8.9 లో, ఈ చర్చల పద్ధతి ECDH మరియు DH పద్ధతుల మధ్య జోడించబడింది, కానీ తదుపరి విడుదలలో దీనిని డిఫాల్ట్గా ఉపయోగించాలని ప్రణాళిక చేయబడింది.
- ssh-keygen, ssh మరియు ssh-agent బయోమెట్రిక్ ప్రమాణీకరణ కోసం కీలతో సహా పరికర ధృవీకరణ కోసం ఉపయోగించే FIDO టోకెన్ కీల నిర్వహణను మెరుగుపరిచాయి.
- అనుమతించబడిన పేరు జాబితా ఫైల్లో వినియోగదారు పేర్లను తనిఖీ చేయడానికి ssh-keygenకి "ssh-keygen -Y మ్యాచ్-ప్రిన్సిపల్స్" ఆదేశం జోడించబడింది.
- ssh-add మరియు ssh-agent ssh-agentకి PIN కోడ్ ద్వారా రక్షించబడిన FIDO కీలను జోడించే సామర్థ్యాన్ని అందిస్తాయి (ధృవీకరణ సమయంలో PIN అభ్యర్థన ప్రదర్శించబడుతుంది).
- ssh-keygen సంతకం ఉత్పత్తి సమయంలో హ్యాషింగ్ అల్గోరిథం (sha512 లేదా sha256) ఎంపికను అనుమతిస్తుంది.
- ssh మరియు sshdలో, పనితీరును మెరుగుపరచడానికి, నెట్వర్క్ డేటా నేరుగా ఇన్కమింగ్ ప్యాకెట్ల బఫర్లోకి చదవబడుతుంది, స్టాక్లోని ఇంటర్మీడియట్ బఫరింగ్ను దాటవేస్తుంది. అందుకున్న డేటాను ఛానెల్ బఫర్లో నేరుగా ఉంచడం ఇదే విధంగా అమలు చేయబడుతుంది.
- sshలో, PubkeyAuthentication డైరెక్టివ్ ఉపయోగించాల్సిన ప్రోటోకాల్ ఎక్స్టెన్షన్ను ఎంచుకునే సామర్థ్యాన్ని అందించడానికి మద్దతు ఉన్న పారామితుల జాబితాను (అవును|నో|అన్బౌండ్|హోస్ట్-బౌండ్) విస్తరించింది.
భవిష్యత్ విడుదలలో, scp యుటిలిటీ డిఫాల్ట్గా SFTPకి మారడానికి ప్రణాళిక చేయబడింది, ఇది లెగసీ SCP/RCP ప్రోటోకాల్ను భర్తీ చేస్తుంది. SFTP మరింత ఊహించదగిన పేరు నిర్వహణ పద్ధతులను ఉపయోగిస్తుంది మరియు ఇతర హోస్ట్లోని షెల్ ద్వారా ఫైల్ పేర్లలో గ్లోబ్ నమూనాల భద్రతా-ప్రోన్ హ్యాండ్లింగ్ను నివారిస్తుంది. ప్రత్యేకంగా, SCP మరియు RCPని ఉపయోగిస్తున్నప్పుడు, క్లయింట్కు ఏ ఫైల్లు మరియు డైరెక్టరీలను పంపాలో సర్వర్ నిర్ణయిస్తుంది, అయితే క్లయింట్ తిరిగి వచ్చిన ఆబ్జెక్ట్ పేర్లను మాత్రమే సరైన వాటి కోసం తనిఖీ చేస్తుంది. క్లయింట్ వైపు సరైన తనిఖీలు నిర్వహించకపోతే ఇది భద్రతా ఉల్లంఘనలకు అనుమతిస్తుంది. సర్వర్ అభ్యర్థించినవి కాకుండా ఇతర ఫైల్ పేర్లను బదిలీ చేయండి. SFTP ప్రోటోకాల్ ఈ సమస్యల నుండి ఉచితం, కానీ ఇది "~/" వంటి ప్రత్యేక మార్గాల విస్తరణకు మద్దతు ఇవ్వదు. ఈ వ్యత్యాసాన్ని పరిష్కరించడానికి, SFTP సర్వర్ అమలు యొక్క మునుపటి OpenSSH విడుదలలో ~/ మరియు ~user/ మార్గాలను విస్తరించడానికి కొత్త SFTP ప్రోటోకాల్ పొడిగింపు ప్రతిపాదించబడింది.
మూలం: opennet.ru
