پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > OpenSSH 8.0 کی ریلیز

OpenSSH 8.0 کی ریلیز

پانچ ماہ کی ترقی کے بعد پیش کیا رہائی اوپن ایس ایچ ایکس این ایم ایکسSSH 2.0 اور SFTP پروٹوکول کے ذریعے کام کرنے کے لیے ایک کھلا کلائنٹ اور سرور کا نفاذ۔

اہم تبدیلیاں:

  • ssh اور sshd میں ایک کلیدی تبادلے کے طریقہ کار کے لیے تجرباتی تعاون جو کوانٹم کمپیوٹر پر بروٹ فورس حملوں کے خلاف مزاحم ہے۔ کوانٹم کمپیوٹرز ایک قدرتی نمبر کو بنیادی عوامل میں تحلیل کرنے کے مسئلے کو حل کرنے میں بنیادی طور پر تیزی سے کام کرتے ہیں، جو جدید غیر متناسب خفیہ کاری الگورتھم پر مشتمل ہے اور کلاسیکی پروسیسرز پر مؤثر طریقے سے حل نہیں کیا جا سکتا۔ مجوزہ طریقہ الگورتھم پر مبنی ہے۔ این ٹی آر یو پرائم (فنکشن ntrup4591761)، پوسٹ کوانٹم کرپٹو سسٹمز کے لیے تیار کیا گیا، اور بیضوی وکر کلیدی تبادلہ طریقہ X25519؛
  • sshd میں، ListenAddress اور PermitOpen کی ہدایات اب میراثی "میزبان/پورٹ" نحو کو سپورٹ نہیں کرتی ہیں، جسے 2001 میں "host:port" کے متبادل کے طور پر لاگو کیا گیا تھا تاکہ IPv6 کے ساتھ کام کرنا آسان ہو۔ جدید حالات میں، آئی پی وی 6 کے لیے نحو "[::1]:22" قائم کیا گیا ہے، اور "میزبان/پورٹ" اکثر سب نیٹ (CIDR) کی نشاندہی کرنے میں الجھ جاتا ہے۔
  • ssh، ssh-agent اور ssh-add اب سپورٹ کیز ای سی ڈی ایس اے PKCS#11 ٹوکن میں؛
  • ssh-keygen میں، NIST کی نئی سفارشات کے مطابق ڈیفالٹ RSA کلید کا سائز 3072 بٹس تک بڑھا دیا گیا ہے۔
  • ssh "PKCS11Provider=none" ترتیب کے استعمال کی اجازت دیتا ہے تاکہ ssh_config میں مخصوص کردہ PKCS11Provider کی ہدایت کو اوور رائیڈ کیا جا سکے۔
  • sshd حالات کا ایک لاگ ڈسپلے فراہم کرتا ہے جب کنکشن ختم ہو جاتا ہے جب sshd_config میں "ForceCommand=internal-sftp" پابندی کے ذریعے بلاک کردہ کمانڈز پر عمل کرنے کی کوشش کی جاتی ہے۔
  • ssh میں، "ہاں" کے جواب کے بجائے، ایک نئی میزبان کلید کی قبولیت کی تصدیق کے لیے درخواست ظاہر کرتے وقت، کلید کا صحیح فنگر پرنٹ اب قبول کر لیا جاتا ہے (کنکشن کی تصدیق کے لیے دعوت نامے کے جواب میں، صارف اس کی کاپی کر سکتا ہے۔ کلپ بورڈ کے ذریعے الگ سے حوالہ ہیش موصول ہوا، تاکہ دستی طور پر اس کا موازنہ نہ کیا جائے؛
  • ssh-keygen کمانڈ لائن پر متعدد سرٹیفکیٹس کے لیے ڈیجیٹل دستخط بناتے وقت سرٹیفکیٹ کی ترتیب نمبر میں خودکار اضافہ فراہم کرتا ہے۔
  • ایک نیا آپشن "-J" scp اور sftp میں شامل کیا گیا ہے، جو ProxyJump ترتیب کے برابر ہے۔
  • ssh-agent، ssh-pkcs11-helper اور ssh-add میں، آؤٹ پٹ کے معلوماتی مواد کو بڑھانے کے لیے "-v" کمانڈ لائن آپشن کی پروسیسنگ کو شامل کیا گیا ہے (جب بیان کیا جائے تو، یہ آپشن چائلڈ پروسیسز کو منتقل کیا جاتا ہے، مثال کے طور پر، جب ssh-pkcs11-helper کو ssh-agent سے بلایا جاتا ہے؛
  • ڈیجیٹل دستخط کی تخلیق اور تصدیقی کارروائیوں کو انجام دینے کے لیے ssh-ایجنٹ میں کلیدوں کی مناسبیت کو جانچنے کے لیے ssh-add میں "-T" آپشن شامل کیا گیا ہے۔
  • sftp-server "lsetstat at openssh.com" پروٹوکول ایکسٹینشن کے لیے سپورٹ کو لاگو کرتا ہے، جو SFTP کے لیے SSH2_FXP_SETSTAT آپریشن کے لیے سپورٹ شامل کرتا ہے، لیکن علامتی لنکس کی پیروی کیے بغیر۔
  • chown/chgrp/chmod کمانڈز کو ان درخواستوں کے ساتھ چلانے کے لیے sftp میں "-h" آپشن شامل کیا گیا جو علامتی لنکس کا استعمال نہیں کرتی ہیں۔
  • sshd PAM کے لیے $SSH_CONNECTION ماحول کے متغیر کی ترتیب فراہم کرتا ہے۔
  • sshd کے لیے، ssh_config میں ایک "میچ فائنل" مماثلت کا موڈ شامل کیا گیا ہے، جو "کینونیکل میچ" سے ملتا جلتا ہے، لیکن اسے فعال کرنے کے لیے میزبان نام کو معمول پر لانے کی ضرورت نہیں ہے۔
  • بیچ موڈ میں انجام دیے گئے کمانڈز کے آؤٹ پٹ کے ترجمے کو غیر فعال کرنے کے لیے sftp میں '@' سابقہ ​​کے لیے تعاون شامل کیا گیا ہے۔
  • جب آپ کمانڈ کا استعمال کرتے ہوئے کسی سرٹیفکیٹ کے مواد کو ظاہر کرتے ہیں۔
    "ssh-keygen -Lf /path/certificate" اب CA کے ذریعہ سرٹیفکیٹ کی توثیق کرنے کے لیے استعمال کردہ الگورتھم دکھاتا ہے۔

  • سائگ وِن ماحول کے لیے بہتر سپورٹ، مثال کے طور پر گروپ اور صارف کے ناموں کا کیس غیر حساس موازنہ فراہم کرنا۔ مائیکروسافٹ کی فراہم کردہ OpenSSH پورٹ میں مداخلت سے بچنے کے لیے Cygwin پورٹ میں sshd عمل کو cygsshd میں تبدیل کر دیا گیا ہے۔
  • تجرباتی OpenSSL 3.x برانچ کے ساتھ تعمیر کرنے کی صلاحیت شامل کی گئی۔
  • ختم کر دیا کمزوری (CVE-2019-6111) scp یوٹیلیٹی کے نفاذ میں، جو ٹارگٹ ڈائرکٹری میں صوابدیدی فائلوں کو کلائنٹ سائڈ پر اوور رائٹ کرنے کی اجازت دیتا ہے جب کسی حملہ آور کے زیر کنٹرول سرور تک رسائی حاصل ہوتی ہے۔ مسئلہ یہ ہے کہ scp استعمال کرتے وقت، سرور فیصلہ کرتا ہے کہ کون سی فائلیں اور ڈائریکٹریز کلائنٹ کو بھیجنی ہیں، اور کلائنٹ صرف واپس کیے گئے آبجیکٹ کے ناموں کی درستگی کو چیک کرتا ہے۔ کلائنٹ سائیڈ چیکنگ صرف موجودہ ڈائرکٹری (“../”) سے آگے کے سفر کو روکنے تک محدود ہے، لیکن اصل میں درخواست کردہ ناموں سے مختلف فائلوں کی منتقلی کو مدنظر نہیں رکھتی۔ تکراری کاپی (-r) کی صورت میں، فائل کے ناموں کے علاوہ، آپ ذیلی ڈائریکٹریوں کے ناموں کو بھی اسی طرح جوڑ سکتے ہیں۔ مثال کے طور پر، اگر صارف فائلوں کو ہوم ڈائرکٹری میں کاپی کرتا ہے، تو حملہ آور کے زیر کنٹرول سرور درخواست کردہ فائلوں کے بجائے .bash_aliases یا .ssh/authorized_keys ناموں والی فائلیں تیار کر سکتا ہے، اور وہ صارف کی scp یوٹیلیٹی کے ذریعے محفوظ کی جائیں گی۔ ہوم ڈائریکٹری.

    نئی ریلیز میں، scp یوٹیلیٹی کو اپ ڈیٹ کر دیا گیا ہے تاکہ درخواست کی گئی فائل کے ناموں اور سرور کے ذریعے بھیجے گئے خط و کتابت کو چیک کیا جا سکے، جو کلائنٹ کی طرف سے کیا جاتا ہے۔ یہ ماسک پروسیسنگ کے ساتھ مسائل پیدا کر سکتا ہے، کیونکہ سرور اور کلائنٹ کے اطراف میں ماسک کی توسیع کے حروف کو مختلف طریقے سے پروسیس کیا جا سکتا ہے۔ اگر اس طرح کے اختلافات کی وجہ سے کلائنٹ scp میں فائلوں کو قبول کرنا بند کر دیتا ہے، "-T" آپشن کو کلائنٹ سائیڈ چیکنگ کو غیر فعال کرنے کے لیے شامل کیا گیا ہے۔ مسئلے کو مکمل طور پر درست کرنے کے لیے، scp پروٹوکول کی ایک تصوراتی بحالی کی ضرورت ہے، جو خود پہلے سے پرانا ہے، اس لیے اس کی بجائے مزید جدید پروٹوکول جیسے کہ sftp اور rsync استعمال کرنے کی سفارش کی جاتی ہے۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں