OpenSSH 8.8 کی ریلیز شائع ہو چکی ہے، SSH 2.0 اور SFTP پروٹوکول کا استعمال کرتے ہوئے کام کرنے کے لیے کلائنٹ اور سرور کا کھلا نفاذ۔ ریلیز SHA-1 ہیش ("ssh-rsa") کے ساتھ RSA کیز پر مبنی ڈیجیٹل دستخطوں کو استعمال کرنے کی صلاحیت کو بطور ڈیفالٹ غیر فعال کرنے کے لیے قابل ذکر ہے۔
"ssh-rsa" دستخطوں کے لیے سپورٹ کا خاتمہ ایک دیے گئے سابقہ کے ساتھ تصادم کے حملوں کی بڑھتی ہوئی کارکردگی کی وجہ سے ہے (تصادم کے انتخاب کی لاگت کا تخمینہ تقریباً $50 ہزار ہے)۔ اپنے سسٹمز پر ssh-rsa کے استعمال کو جانچنے کے لیے، آپ ssh کے ذریعے "-oHostKeyAlgorithms=-ssh-rsa" اختیار کے ساتھ جڑنے کی کوشش کر سکتے ہیں۔ SHA-256 اور SHA-512 ہیشز (rsa-sha2-256/512) کے ساتھ RSA دستخطوں کے لیے سپورٹ، جو OpenSSH 7.2 سے سپورٹ کیا گیا ہے، کوئی تبدیلی نہیں ہے۔
زیادہ تر معاملات میں، "ssh-rsa" کے لیے سپورٹ کو بند کرنے کے لیے صارفین سے کسی بھی دستی کارروائی کی ضرورت نہیں ہوگی، کیونکہ OpenSSH میں پہلے سے ہی UpdateHostKeys سیٹنگ بطور ڈیفالٹ فعال ہوتی تھی، جو کلائنٹس کو خود بخود زیادہ قابل اعتماد الگورتھم کی طرف منتقل کر دیتی ہے۔ ہجرت کے لیے پروٹوکول کی توسیع "[ای میل محفوظ]"، سرور کو تصدیق کے بعد، تمام دستیاب میزبان کیز کے بارے میں کلائنٹ کو مطلع کرنے کی اجازت دیتا ہے۔ کلائنٹ کی طرف سے OpenSSH کے بہت پرانے ورژن کے ساتھ میزبانوں سے منسلک ہونے کی صورت میں، آپ ~/.ssh/config: ہوسٹ old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + میں شامل کرکے "ssh-rsa" دستخط استعمال کرنے کی اہلیت کو منتخب طور پر واپس کر سکتے ہیں۔ ssh-rsa
نیا ورژن sshd کی وجہ سے پیدا ہونے والے سیکیورٹی کے مسئلے کو بھی حل کرتا ہے، OpenSSH 6.2 سے شروع ہوتا ہے، AuthorizedKeysCommand اور AuthorizedPrincipalsCommand ہدایات میں بیان کردہ کمانڈز پر عمل کرتے وقت صارف گروپ کو صحیح طریقے سے شروع نہیں کرتا ہے۔ ان ہدایات کو ایک مختلف صارف کے تحت کمانڈز کو چلانے کی اجازت دینا تھی، لیکن حقیقت میں انہیں sshd چلانے کے دوران استعمال ہونے والے گروپوں کی فہرست وراثت میں ملی۔ ممکنہ طور پر، اس رویے نے، کچھ سسٹم سیٹنگز کی موجودگی میں، لانچ ہینڈلر کو سسٹم پر اضافی مراعات حاصل کرنے کی اجازت دی۔
نئے ریلیز نوٹ میں ایک انتباہ بھی شامل ہے کہ scp لیگیسی SCP/RCP پروٹوکول کے بجائے SFTP پر ڈیفالٹ ہو جائے گا۔ SFTP ناموں کو سنبھالنے کے زیادہ متوقع طریقے استعمال کرتا ہے اور دوسرے میزبان کی طرف سے فائل کے ناموں میں گلوب پیٹرن کی شیل پروسیسنگ کا استعمال نہیں کرتا، جس سے سیکیورٹی کے مسائل پیدا ہوتے ہیں۔ خاص طور پر، SCP اور RCP کا استعمال کرتے وقت، سرور فیصلہ کرتا ہے کہ کلائنٹ کو کون سی فائلیں اور ڈائریکٹریز بھیجنی ہیں، اور کلائنٹ صرف واپس کیے گئے آبجیکٹ کے ناموں کی درستگی کی جانچ کرتا ہے، جو کہ کلائنٹ کی طرف سے مناسب جانچ کی عدم موجودگی میں، اجازت دیتا ہے۔ سرور دوسرے فائل ناموں کو منتقل کرنے کے لئے جو درخواست کردہ ناموں سے مختلف ہیں۔ SFTP پروٹوکول میں یہ مسائل نہیں ہیں، لیکن خاص راستوں جیسے "~/" کی توسیع کی حمایت نہیں کرتا ہے۔ اس فرق کو حل کرنے کے لیے، OpenSSH کی پچھلی ریلیز نے SFTP سرور کے نفاذ میں ~/ اور ~ صارف/ راستوں کے لیے ایک نیا SFTP پروٹوکول ایکسٹینشن متعارف کرایا ہے۔
ماخذ: opennet.ru