چھ ماہ کی ترقی کے بعد، OpenSSH 8.9 کی ریلیز، ایک کھلا کلائنٹ اور SSH 2.0 اور SFTP پروٹوکول پر کام کرنے کے لیے سرور کا نفاذ، پیش کیا گیا۔ sshd کا نیا ورژن ایک ایسے خطرے کو ٹھیک کرتا ہے جو ممکنہ طور پر غیر تصدیق شدہ رسائی کی اجازت دے سکتا ہے۔ مسئلہ توثیقی کوڈ میں انٹیجر اوور فلو کی وجہ سے ہے، لیکن کوڈ میں موجود دیگر منطقی غلطیوں کے ساتھ ہی اس کا فائدہ اٹھایا جا سکتا ہے۔
اس کی موجودہ شکل میں، استحقاق کی علیحدگی کے موڈ کے فعال ہونے پر کمزوری کا فائدہ نہیں اٹھایا جا سکتا، کیونکہ اس کا اظہار استحقاق علیحدگی سے باخبر رہنے کے کوڈ میں کی جانے والی علیحدہ جانچ کے ذریعے روک دیا جاتا ہے۔ 2002 سے OpenSSH 3.2.2 سے استحقاق علیحدگی کا موڈ بطور ڈیفالٹ فعال کیا گیا ہے، اور 7.5 میں شائع ہونے والے OpenSSH 2017 کی ریلیز کے بعد سے یہ لازمی ہے۔ اس کے علاوہ، OpenSSH کے پورٹیبل ورژن میں ریلیز 6.5 (2014) سے شروع ہونے والے، انٹیجر اوور فلو پروٹیکشن فلیگ کی شمولیت کے ساتھ تالیف کے ذریعے خطرے کو روک دیا جاتا ہے۔
دیگر تبدیلیاں:
- sshd میں OpenSSH کے پورٹیبل ورژن نے MD5 الگورتھم (بیرونی لائبریریوں جیسے libxcrypt کے ساتھ لنک کرنے کی اجازت دیتے ہوئے) کا استعمال کرتے ہوئے پاس ورڈ ہیش کرنے کے لیے مقامی حمایت کو ہٹا دیا ہے۔
- ssh، sshd، ssh-add، اور ssh-agent ایک ذیلی نظام کو نافذ کرتے ہیں تاکہ ssh-agent میں شامل کی گئی کیز کو فارورڈنگ اور استعمال کو محدود کیا جا سکے۔ سب سسٹم آپ کو ایسے اصول ترتیب دینے کی اجازت دیتا ہے جو یہ طے کرتے ہیں کہ ssh-agent میں کیز کو کیسے اور کہاں استعمال کیا جا سکتا ہے۔ مثال کے طور پر، ایک کلید شامل کرنے کے لیے جو صرف میزبان scylla.example.org سے جڑنے والے کسی بھی صارف کی توثیق کے لیے استعمال کی جا سکتی ہے، صارف کو میزبان cetus.example.org، اور صارف medea میزبان charybdis.example.org پر انٹرمیڈیٹ ہوسٹ scylla.example.org کے ذریعے ری ڈائریکشن کے ساتھ، آپ درج ذیل کمانڈ استعمال کر سکتے ہیں: $ssh-add -h "[ای میل محفوظ]» \ -h «scylla.example.org» \ -h «scylla.example.org>[ای میل محفوظ]» \ ~/.ssh/id_ed25519
- ssh اور sshd میں، KexAlgorithms کی فہرست میں ایک ہائبرڈ الگورتھم کو بطور ڈیفالٹ شامل کیا گیا ہے، جو اس ترتیب کا تعین کرتا ہے جس میں کلیدی تبادلے کے طریقے منتخب کیے جاتے ہیں۔[ای میل محفوظ]"(ECDH/x25519 + NTRU پرائم)، کوانٹم کمپیوٹرز پر انتخاب کے خلاف مزاحم۔ OpenSSH 8.9 میں، یہ گفت و شنید کا طریقہ ECDH اور DH طریقوں کے درمیان شامل کیا گیا تھا، لیکن اسے اگلی ریلیز میں بطور ڈیفالٹ فعال کرنے کا منصوبہ ہے۔
- ssh-keygen، ssh، اور ssh-agent نے ڈیوائس کی تصدیق کے لیے استعمال ہونے والی FIDO ٹوکن کیز کو بہتر طریقے سے سنبھالا ہے، بشمول بائیو میٹرک تصدیق کے لیے کیز۔
- ssh-keygen میں "ssh-keygen -Y match-principals" کمانڈ کو ssh-keygen میں شامل کیا گیا تاکہ نام کی فہرست کی اجازت دی گئی فائل میں صارف کے ناموں کو چیک کیا جا سکے۔
- ssh-add اور ssh-agent ssh-agent میں PIN کوڈ کے ذریعے محفوظ FIDO کیز کو شامل کرنے کی صلاحیت فراہم کرتے ہیں (تصدیق کے وقت PIN کی درخواست ظاہر ہوتی ہے)۔
- ssh-keygen دستخط پیدا کرنے کے دوران ہیشنگ الگورتھم (sha512 یا sha256) کے انتخاب کی اجازت دیتا ہے۔
- ssh اور sshd میں، کارکردگی کو بہتر بنانے کے لیے، اسٹیک پر انٹرمیڈیٹ بفرنگ کو نظرانداز کرتے ہوئے، نیٹ ورک ڈیٹا کو براہ راست آنے والے پیکٹوں کے بفر میں پڑھا جاتا ہے۔ ایک چینل بفر میں موصول ہونے والے ڈیٹا کی براہ راست جگہ کا تعین اسی طرح سے کیا جاتا ہے۔
- ssh میں، PubkeyAuthentication ہدایت نے استعمال کرنے کے لیے پروٹوکول ایکسٹینشن کو منتخب کرنے کی اہلیت فراہم کرنے کے لیے معاون پیرامیٹرز (yes|no|unbound|host-bound) کی فہرست کو بڑھا دیا ہے۔
مستقبل کی ریلیز میں، ہم لیگیسی SCP/RCP پروٹوکول کی بجائے SFTP استعمال کرنے کے لیے scp یوٹیلیٹی کے ڈیفالٹ کو تبدیل کرنے کا ارادہ رکھتے ہیں۔ SFTP ناموں کو سنبھالنے کے زیادہ متوقع طریقے استعمال کرتا ہے اور دوسرے میزبان کی طرف سے فائل کے ناموں میں گلوب پیٹرن کی شیل پروسیسنگ کا استعمال نہیں کرتا، جس سے سیکیورٹی کے مسائل پیدا ہوتے ہیں۔ خاص طور پر، SCP اور RCP کا استعمال کرتے وقت، سرور فیصلہ کرتا ہے کہ کلائنٹ کو کون سی فائلیں اور ڈائریکٹریز بھیجنی ہیں، اور کلائنٹ صرف واپس کیے گئے آبجیکٹ کے ناموں کی درستگی کی جانچ کرتا ہے، جو کہ کلائنٹ کی طرف سے مناسب جانچ کی عدم موجودگی میں، اجازت دیتا ہے۔ سرور دوسرے فائل ناموں کو منتقل کرنے کے لئے جو درخواست کردہ ناموں سے مختلف ہیں۔ SFTP پروٹوکول میں یہ مسائل نہیں ہیں، لیکن خاص راستوں جیسے "~/" کی توسیع کی حمایت نہیں کرتا ہے۔ اس فرق کو حل کرنے کے لیے، OpenSSH کی پچھلی ریلیز نے SFTP سرور کے نفاذ میں ~/ اور ~ صارف/ راستوں کے لیے ایک نیا SFTP پروٹوکول ایکسٹینشن متعارف کرایا ہے۔
ماخذ: opennet.ru