ProHoster > Блог > ayelujara iroyin > Itusilẹ ti OpenSSH 9.6 pẹlu imukuro awọn ailagbara

Itusilẹ ti OpenSSH 9.6 pẹlu imukuro awọn ailagbara

Itusilẹ ti OpenSSH 9.6 ti ṣe atẹjade, imuse ṣiṣi ti alabara ati olupin fun ṣiṣẹ ni lilo awọn ilana SSH 2.0 ati SFTP. Ẹya tuntun n ṣatunṣe awọn ọran aabo mẹta:

  • Ailagbara ninu ilana SSH (CVE-2023-48795, ikọlu “Terrapin”), eyiti ngbanilaaye ikọlu MITM kan lati yi asopọ pada lati lo awọn algoridimu ijẹrisi ti ko ni aabo ati mu aabo kuro lodi si awọn ikọlu ikanni ẹgbẹ ti o tun ṣe igbewọle nipasẹ itupalẹ awọn idaduro. laarin awọn bọtini bọtini lori keyboard. Ọna ikọlu naa jẹ apejuwe ninu nkan iroyin lọtọ.
  • Ailagbara ninu ohun elo ssh ti o fun laaye iyipada ti awọn aṣẹ ikarahun lainidii nipasẹ ifọwọyi ti iwọle ati awọn iye ogun ti o ni awọn ohun kikọ pataki. Ailagbara naa le jẹ ilokulo ti ikọlu ba ṣakoso iwọle ati awọn iye orukọ olupin ti o kọja si ssh, ProxyCommand ati Awọn itọsọna LocalCommand, tabi awọn bulọọki “match exec” ti o ni awọn ohun kikọ silẹ bii% u ati% h. Fun apẹẹrẹ, wiwọle ti ko tọ ati agbalejo le paarọ rẹ ni awọn eto ti o lo submodules ni Git, niwon Git ko ṣe idiwọ asọye awọn ohun kikọ pataki ninu agbalejo ati awọn orukọ olumulo. Ailagbara ti o jọra tun han ni libssh.
  • Kokoro kan wa ni aṣoju ssh nibiti, nigba fifi PKCS # 11 awọn bọtini ikọkọ, awọn ihamọ lo nikan si bọtini akọkọ ti o pada nipasẹ ami PKCS#11. Ọrọ naa ko kan awọn bọtini ikọkọ deede, awọn ami FIDO, tabi awọn bọtini ailopin.

Awọn iyipada miiran:

  • Fikun "% j" fidipo si ssh, ti n gbooro si orukọ olupin ti a pato nipasẹ itọsọna ProxyJump.
  • ssh ti ṣafikun atilẹyin fun eto ChannelTimeout ni ẹgbẹ alabara, eyiti o le ṣee lo lati fopin si awọn ikanni aiṣiṣẹ.
  • Atilẹyin ti a ṣafikun fun kika awọn bọtini ikọkọ ED25519 ni ọna kika PEM PKCS8 si ssh, sshd, ssh-add ati ssh-keygen (ọna kika OpenSSH nikan ni a ṣe atilẹyin tẹlẹ).
  • A ti ṣafikun itẹsiwaju ilana kan si ssh ati sshd lati tun ṣe idunadura awọn algoridimu ibuwọlu oni nọmba fun ijẹrisi bọtini gbangba lẹhin ti o ti gba orukọ olumulo naa. Fun apẹẹrẹ, ni lilo itẹsiwaju, o le yiyan lo awọn algoridimu miiran ni ibatan si awọn olumulo nipa sisọtọ PubkeyAcceptedAlgorithms ni “olumulo Baramu” Àkọsílẹ .
  • Ṣafikun itẹsiwaju Ilana kan si ssh-add ati aṣoju ssh lati ṣeto awọn iwe-ẹri nigbati o ba n ṣajọ awọn bọtini PKCS#11, gbigba awọn iwe-ẹri ti o ni nkan ṣe pẹlu awọn bọtini ikọkọ PKCS#11 lati lo ni gbogbo awọn ohun elo OpenSSH ti o ṣe atilẹyin aṣoju ssh, kii ṣe ssh nikan.
  • Iwari ilọsiwaju ti awọn asia akopo ti ko ni atilẹyin tabi riru gẹgẹbi "-fzero-call-used-regs" ni idile idile.
  • Lati fi opin si awọn anfani ti ilana sshd, awọn ẹya ti OpenSolaris ti o ṣe atilẹyin ni wiwo getpflags () lo ipo PRIV_XPOLICY dipo PRIV_LIMIT.

orisun: opennet.ru

Fi ọrọìwòye kun