מעלדונג פון OpenSSH 8.8 מיט דיסייבאַל שטיצן פֿאַר רסאַ-שאַ דיגיטאַל סיגנאַטשערז

די מעלדונג פון OpenSSH 8.8 איז ארויס, אַן אָפֿן ימפּלאַמענטיישאַן פון אַ קליענט און סערווער פֿאַר ארבעטן מיט די SSH 2.0 און SFTP פּראָטאָקאָלס. די מעלדונג איז נאָוטאַבאַל פֿאַר דיסייבאַלינג דורך פעליקייַט די פיייקייט צו נוצן דיגיטאַל סיגנאַטשערז באזירט אויף RSA שליסלען מיט אַ SHA-1 האַש ("סש-רסאַ").

די ופהער פון שטיצן פֿאַר "שש-רסאַ" סיגנאַטשערז איז רעכט צו דער געוואקסן עפעקטיווקייַט פון צונויפשטויס אַטאַקס מיט אַ געגעבן פּרעפיקס (די פּרייַז פון סאַלעקטינג אַ צונויפשטויס איז עסטימאַטעד בייַ בעערעך $ 50 טויזנט). צו פּרובירן די נוצן פון ssh-rsa אויף דיין סיסטעמען, איר קענען פּרובירן קאַנעקטינג דורך ssh מיט די "-oHostKeyAlgorithms=-ssh-rsa" אָפּציע. שטיצן פֿאַר RSA סיגנאַטשערז מיט SHA-256 און SHA-512 האַשעס (rsa-sha2-256/512), וואָס זענען געשטיצט זינט OpenSSH 7.2, בלייבט אַנטשיינדזשד.

אין רובֿ פאלן, אָפּשטעלן שטיצן פֿאַר "ssh-rsa" וועט נישט דאַרפן קיין מאַנואַל אַקשאַנז פון יוזערז, זינט OpenSSH ביז אַהער האט די UpdateHostKeys באַשטעטיקן ענייבאַלד דורך פעליקייַט, וואָס אויטאָמאַטיש מייגרייט קלייאַנץ צו מער פאַרלאָזלעך אַלגערידאַמז. פֿאַר מייגריישאַן, די פּראָטאָקאָל פאַרלענגערונג "[אימעיל באשיצט]", אַלאַוינג די סערווער, נאָך אָטענטאַקיישאַן, צו מיטטיילן דעם קליענט וועגן אַלע בנימצא באַלעבאָס שליסלען. אין פאַל פון קאַנעקטינג צו האָסץ מיט זייער אַלט ווערסיעס פון OpenSSH אויף די קליענט זייַט, איר קענען סאַלעקטיוולי צוריקקומען די פיייקייט צו נוצן "ssh-rsa" סיגנאַטשערז דורך אַדינג צו ~/.ssh/config: האָסט אַלט_האָסטנאַמע HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa

די נייַע ווערסיע אויך סאַלווז אַ זיכערהייט אַרויסגעבן געפֿירט דורך sshd, סטאַרטינג מיט OpenSSH 6.2, ניט רעכט יניטיאַלייזינג די באַניצער גרופּע ווען עקסאַקיוטינג קאַמאַנדז ספּעסיפיעד אין די AuthorizedKeysCommand און AuthorizedPrincipalsCommand דיירעקטיווז. די דיירעקטיווז זענען געמיינט צו לאָזן קאַמאַנדז לויפן אונטער אַ אַנדערש באַניצער, אָבער אין פאַקט זיי ינכעראַטיד די רשימה פון גרופּעס געניצט ווען פליסנדיק sshd. פּאַטענטשאַלי, דעם נאַטור, אין דעם בייַזייַן פון זיכער סיסטעם סעטטינגס, ערלויבט די לאָנטשט האַנדלער צו באַקומען נאָך פּריווילאַדזשאַז אויף די סיסטעם.

די נייַע מעלדונג טאָן אויך כולל אַ ווארענונג אַז סקפּ וועט פעליקייַט צו SFTP אַנשטאָט פון די לעגאַט SCP / RCP פּראָטאָקאָל. SFTP ניצט מער פּרידיקטאַבאַל נאָמען האַנדלינג מעטהאָדס און טוט נישט נוצן שאָל פּראַסעסינג פון גלאָב פּאַטערנז אין טעקע נעמען אויף די אנדערע באַלעבאָס זייַט, וואָס קריייץ זיכערהייט פּראָבלעמס. אין באַזונדער, ווען ניצן SCP און RCP, דער סערווער דיסיידז וואָס טעקעס און דירעקטעריז צו שיקן צו דעם קליענט, און דער קליענט נאָר טשעקס די קערעקטנאַס פון די אומגעקערט אַבדזשעקץ נעמען, וואָס, אין דער אַוועק פון געהעריק טשעקס אויף די קליענט זייַט, אַלאַוז די באַניצער. סערווער צו אַריבערפירן אנדערע טעקע נעמען וואָס זענען אַנדערש פון די געבעטן. די SFTP פּראָטאָקאָל טוט נישט האָבן די פּראָבלעמס, אָבער טוט נישט שטיצן די יקספּאַנשאַן פון ספּעציעל פּאַטס אַזאַ ווי "~/". צו אַדרעס דעם חילוק, די פריערדיקע מעלדונג פון OpenSSH ינטראָודוסט אַ נייַע SFTP פּראָטאָקאָל פאַרלענגערונג צו די ~/ און ~ באַניצער/ פּאַטס אין די SFTP סערווער ימפּלאַמענטיישאַן.

מקור: opennet.ru