OpenSSH 9.8 versiyasi e'lon qilindi, SSH 2.0 va SFTP protokollaridan foydalangan holda ishlash uchun mijoz va serverning ochiq ilovasi. Autentifikatsiyadan oldingi bosqichda ildiz huquqlari bilan masofadan kodni bajarish imkonini beruvchi alohida e'lon qilingan muhim zaiflikni (CVE-2024-6387) tuzatishdan tashqari, yangi versiya yana bir kamroq xavfli zaiflikni tuzatadi va xavfsizlikni yaxshilashga qaratilgan bir qator muhim o'zgarishlarni taklif qiladi.
Ikkinchi zaiflik, kirishni qayta yaratish uchun klaviaturadagi tugmalar orasidagi kechikishlarni tahlil qiluvchi yon kanal hujumlaridan OpenSSH 9.5 da qo'shilgan himoyani chetlab o'tish imkonini beradi. Zaiflik bizga real tugmachalar bosilganda yuborilgan paketlardan xayoliy klavishlarni taqlid qilish orqali fon faolligini yaratuvchi paketlarni ajratish imkonini beradi, bu esa ssh-dagi trafikdagi interaktiv kiritish xususiyatlarini yashirish mexanizmining samaradorligini pasaytiradi. Klaviatura bosish ma'lumotlari klaviaturadagi tugmachalarning joylashuviga bog'liq bo'lgan klaviatura bosishlari orasidagi kechikishlarni tahlil qilish orqali kiritishni qayta yaratadigan hujumlarga imkon beradi (masalan, "F" harfini kiritishda javob "Q" yoki "" terishdagiga qaraganda tezroq. X”, shuning uchun bosish kamroq barmoq harakatini talab qiladi).
Bundan tashqari, ma'lum bo'lishicha, paketlarni real va xayoliy bosish bilan jo'natishning amalga oshirilgan algoritmi yon kanal hujumlaridan himoyalanishning boshqa usuli ishonchliligini pasaytirgan. Chiqarilganidan beri
OpenSSH 2.9.9 serveri echo-off rejimida konsol kiritish uchun xayoliy bosishlar bilan paketlarni yubordi, masalan, su yoki sudo-da parollarni kiritishda foydalaniladi. Xayoliy paketlarni jo'natishning yangi mantig'i passiv trafik tahlili paytida alohida tahlil qilish uchun aks-sado rejimida haqiqiy bosishlari bo'lgan paketlarni tanlash imkonini berdi. Shu bilan birga, bosish vaqti haqidagi ma'lumotlarning aniqligi cheklangan, chunki terishdan keyin paketlar darhol yuborilmaydi, lekin belgilangan vaqt oralig'ida (sukut bo'yicha 20 ms).
OpenSSH 9.8 dagi boshqa o'zgarishlar:
- Qurilish bosqichida DSA algoritmiga asoslangan raqamli imzolarni qo'llab-quvvatlash sukut bo'yicha o'chirib qo'yilgan. DSA ilovasi 2025 yil boshida kod bazasidan olib tashlanadi. O'chirish sababi DSAda zamonaviy talablarga javob bermaydigan himoya darajasi sifatida ko'rsatilgan. Ishonchli bo'lmagan DSA algoritmini saqlashni davom ettirish narxi bunga loyiq emas va uni olib tashlash boshqa SSH ilovalari va kriptografik kutubxonalarda DSA qo'llab-quvvatlashini bekor qilishni rag'batlantiradi.
- Sshd ga ko'p sonli ulanishlarni talab qiladigan ekspluatatsiya usullaridan qo'shimcha himoya qilish uchun yangi himoya rejimi joriy etildi va sukut bo'yicha yoqilgan. Ushbu rejim shuningdek, botlar turli xil odatiy kombinatsiyalarni sinab ko'rish orqali foydalanuvchi parolini taxmin qilishga urinadigan avtomatlashtirilgan parolni taxmin qilish hujumlarini blokirovka qilishga yordam beradi. Ushbu himoya blokirovka qilish orqali amalga oshiriladi. IP manzillar, ko'p sonli muvaffaqiyatsiz ulanish urinishlarini qayd etadigan sshd, bolalar jarayonlarining tugash holatini kuzatib boradi, autentifikatsiya muvaffaqiyatsiz tugagan yoki jarayon ishdan chiqish tufayli g'ayritabiiy tarzda tugatilgan holatlarni aniqlaydi. Muayyan chegaradan oshib ketganda, u muammoli IP-manzillar yoki pastki tarmoqlardan kelgan so'rovlarni bloklashni boshlaydi. Bloklash chegarasini, bloklanadigan pastki tarmoq niqobini va istisnolar ro'yxatini sozlash uchun PerSourcePenalties, PerSourceNetBlockSize va PerSourcePenaltyExemptList parametrlari mavjud.
- sshd bir nechta alohida bajariladigan fayllarga bo'lingan. Sshd-sessiya jarayoni seansni qayta ishlash bilan bog'liq vazifalarni bajarish uchun sshd-dan ajratilgan. Sshd jarayoni MaxStartups parametriga muvofiq tarmoq ulanishlarini qabul qilish, konfiguratsiyalarni tekshirish, xost kalitlarini yuklash va ishga tushirish jarayonlarini boshqarish uchun mas'ul bo'lgan funktsiyalarni saqlab qoladi. Shunday qilib, sshd bajariladigan fayli endi yangi tarmoq ulanishini qabul qilish va seansni boshqarish uchun sshd-sessiyani boshlash uchun zarur bo'lgan minimal funksiyalarni o'z ichiga oladi.
- Jurnalga yozilgan ba'zi xato xabarlarining matni o'zgartirildi. Xususan, endilikda bir qancha xabarlar “sshd” emas, balki “sshd-session” jarayoni nomi bilan yuboriladi.
- Ssh-keyscan yordam dasturi endi STDERR o'rniga protokol versiyasi va xost nomi ma'lumotlarini standart oqimga chiqaradi. Chiqishni o'chirish uchun "-q" opsiyasi taklif etiladi.
- Ssh-da HostkeyAlgorithms direktivasi orqali xost kaliti sertifikatidan oddiy xost kalitlaridan foydalanishga qaytishni o'chirib qo'yish mumkin.
- Sshd ning portativ versiyasi endi PAM xizmati nomini aniqlash uchun argv[0] qiymatidan foydalanmaydi. PAM xizmati nomini o'rnatish uchun sshd_config ga yangi "PAMServiceName" direktivasi qo'shildi, u sukut bo'yicha "sshd" ga o'rnatiladi.
- Sshd ning portativ versiyasi avtomatik ravishda yaratilgan fayllar (skriptni sozlash, config.h.in va boshqalar) Git filialida relizlar bilan saqlanishini ta'minlaydi (masalan, V_9_8), bu raqamli imzolangan tar tarkibini sinxronlashtirish imkonini berdi Gitdagi arxivlar va filiallar.
- Ssh va ssh-agentning portativ versiyasi rejimni sozlashni ta'minlaydi
SSH_ASKPASS WAYLAND_DISPLAY muhit oʻzgaruvchisi mavjud boʻlganda, X11 uchun bu DISPLAY muhit oʻzgaruvchisi ishtirokida qanday bajarilganiga oʻxshash. - Sshd ning ko'chma versiyasi libsystemd kutubxonasiga qo'ng'iroq qilmaydigan mustaqil koddan foydalangan holda tinglash tarmog'i rozetkasi yaratilganda yoki qayta ishga tushirilganda tizimga bildirishnomalarni yuborishni qo'llab-quvvatlaydi.
Manba: opennet.ru
