چھ ماہ کی ترقی کے بعد رہائی SSH 2.0 اور SFTP پروٹوکول کے ذریعے کام کرنے کے لیے ایک کھلا کلائنٹ اور سرور کا نفاذ۔
نئی ریلیز میں خصوصی توجہ ssh، sshd، ssh-add اور ssh-keygen کو متاثر کرنے والے خطرے کو ختم کرنا ہے۔ XMSS قسم کے ساتھ پرائیویٹ کیز کو پارس کرنے کے کوڈ میں مسئلہ موجود ہے اور حملہ آور کو انٹیجر اوور فلو کو متحرک کرنے کی اجازت دیتا ہے۔ کمزوری کو قابل استعمال کے طور پر نشان زد کیا گیا ہے، لیکن بہت کم استعمال ہے، کیونکہ XMSS کیز کے لیے سپورٹ ایک تجرباتی خصوصیت ہے جو بطور ڈیفالٹ غیر فعال ہے (پورٹ ایبل ورژن میں XMSS کو فعال کرنے کے لیے autoconf میں تعمیر کا اختیار بھی نہیں ہے)۔
اہم تبدیلیاں:
- ssh، sshd اور ssh-agent میں کوڈ جو سائیڈ چینل حملوں کے نتیجے میں RAM میں واقع نجی کلید کی بازیافت کو روکتا ہے، جیسے , и . پرائیویٹ کیز کو اب انکرپٹ کیا جاتا ہے جب میموری میں لوڈ کیا جاتا ہے اور صرف اس وقت ڈکرپٹ کیا جاتا ہے جب استعمال میں ہو، باقی وقت میں انکرپٹ کیا جاتا ہے۔ اس نقطہ نظر کے ساتھ، نجی کلید کو کامیابی کے ساتھ بازیافت کرنے کے لیے، حملہ آور کو پہلے 16 KB سائز کی تصادفی طور پر تیار کردہ انٹرمیڈیٹ کلید کو بازیافت کرنا ہوگا، جو مرکزی کلید کو خفیہ کرنے کے لیے استعمال کیا جاتا ہے، جس کا امکان نہیں ہے کہ بحالی کی خرابی کی شرح عام طور پر جدید حملوں کی وجہ سے ہو۔
- В ڈیجیٹل دستخط بنانے اور اس کی تصدیق کرنے کے لیے ایک آسان اسکیم کے لیے تجرباتی تعاون شامل کیا گیا۔ ڈسک پر یا ssh-ایجنٹ میں ذخیرہ شدہ باقاعدہ SSH کلیدوں کا استعمال کرتے ہوئے ڈیجیٹل دستخط بنائے جا سکتے ہیں، اور مجاز_کیز سے ملتی جلتی چیز کا استعمال کرتے ہوئے تصدیق کی جا سکتی ہے۔ . نام کی جگہ کی معلومات کو ڈیجیٹل دستخط میں بنایا گیا ہے تاکہ مختلف علاقوں میں استعمال ہونے پر الجھن سے بچا جا سکے (مثال کے طور پر، ای میل اور فائلوں کے لیے)؛
- RSA کلید (CA موڈ میں کام کرتے وقت) کی بنیاد پر ڈیجیٹل دستخط کے ساتھ سرٹیفکیٹ کی توثیق کرتے وقت ssh-keygen کو rsa-sha2-512 الگورتھم استعمال کرنے کے لیے بطور ڈیفالٹ تبدیل کیا گیا ہے۔ اس طرح کے سرٹیفکیٹس OpenSSH 7.2 سے پہلے کی ریلیز کے ساتھ مطابقت نہیں رکھتے ہیں (مطابقت کو یقینی بنانے کے لیے الگورتھم کی قسم کو اوور رائیڈ کیا جانا چاہیے، مثال کے طور پر "ssh-keygen -t ssh-rsa -s..." کال کرکے)؛
- ssh میں، ProxyCommand اظہار اب "%n" متبادل (ایڈریس بار میں بیان کردہ میزبان نام) کی توسیع کی حمایت کرتا ہے؛
- ssh اور sshd کے لیے انکرپشن الگورتھم کی فہرستوں میں، اب آپ پہلے سے طے شدہ الگورتھم داخل کرنے کے لیے "^" کریکٹر استعمال کر سکتے ہیں۔ مثال کے طور پر، ssh-ed25519 کو پہلے سے طے شدہ فہرست میں شامل کرنے کے لیے، آپ "HostKeyAlgorithms ^ssh-ed25519" کی وضاحت کر سکتے ہیں۔
- ssh-keygen کسی نجی سے عوامی کلید نکالتے وقت کلید کے ساتھ منسلک تبصرے کا آؤٹ پٹ فراہم کرتا ہے۔
- کلیدی تلاش کی کارروائیوں کو انجام دیتے وقت ssh-keygen میں "-v" جھنڈا استعمال کرنے کی صلاحیت شامل کی گئی (مثال کے طور پر، "ssh-keygen -vF host")، یہ بتاتے ہوئے کہ جس کے نتیجے میں بصری میزبان کے دستخط ہوتے ہیں۔
- استعمال کرنے کی صلاحیت کو شامل کیا۔ ڈسک پر نجی چابیاں ذخیرہ کرنے کے متبادل فارمیٹ کے طور پر۔ PEM فارمیٹ بطور ڈیفالٹ استعمال ہوتا رہتا ہے، اور PKCS8 فریق ثالث ایپلی کیشنز کے ساتھ مطابقت حاصل کرنے کے لیے مفید ہو سکتا ہے۔
ماخذ: opennet.ru