Itusilẹ ti OpenSSH 9.2 ti ṣe atẹjade, imuse ṣiṣi ti alabara ati olupin fun ṣiṣẹ ni lilo awọn ilana SSH 2.0 ati SFTP. Ẹya tuntun yọkuro ailagbara kan ti o yori si ominira ilọpo meji ti iranti ni ipele iṣaaju-ifọwọsi. Itusilẹ OpenSSH 9.1 nikan ni o kan; iṣoro naa ko han ni awọn ẹya iṣaaju.
Lati ṣẹda awọn ipo fun ifihan ti ailagbara, o to lati yi asia alabara SSH pada si “SSH-2.0-FuTTYSH_9.1p1” lati ṣeto awọn asia “SSH_BUG_CURVE25519PAD” ati “SSH_OLD_DHGEX”, eyiti o da lori ẹya ti SSH onibara. Lẹhin ti ṣeto awọn asia wọnyi, iranti fun ifipamọ “options.kex_algorithms” ti ni ominira lẹẹmeji - nigbati o ba n ṣiṣẹ iṣẹ do_ssh2_kex (), eyiti o pe compat_kex_proposal (), ati nigba ṣiṣe iṣẹ do_authentication2 (), eyiti o pe input_userauth_request (), mm_getpwn. ), copy_set_server_options () pẹlú awọn pq, assemble_algorithms () ati kex_assemble_names ().
Ṣiṣẹda ilokulo iṣẹ kan fun ailagbara ni a ka pe ko ṣeeṣe, nitori ilana ilokulo jẹ idiju pupọ - awọn ile ikawe ipin iranti iranti ode oni pese aabo lodi si ominira ilọpo meji ti iranti, ati ilana iṣaaju-ifọwọsi ninu eyiti aṣiṣe naa wa pẹlu awọn anfani ti o dinku ni ipinya. sandbox ayika.
Ni afikun si ailagbara ti a ṣe akiyesi, itusilẹ tuntun tun ṣe atunṣe awọn ọran aabo meji diẹ sii:
- Aṣiṣe kan waye nigbati o ba n ṣiṣẹ eto “PermitRemoteOpen”, ti o fa ki ariyanjiyan akọkọ kọbikita ti o ba yatọ si awọn iye “eyikeyi” ati “ko si”. Iṣoro naa han ni awọn ẹya tuntun ju OpenSSH 8.7 ati pe o fa ki ayẹwo naa ma fo nigbati igbanilaaye kan ṣoṣo ba jẹ pato.
- Olukọni ti n ṣakoso olupin DNS ti a lo lati yanju awọn orukọ le ṣaṣeyọri iyipada ti awọn ohun kikọ pataki (fun apẹẹrẹ, “*”) sinu awọn faili_hosts ti a mọ ti awọn aṣayan CanonicalizeHostname ati CanonicalizePermittedCNAMEs ti ṣiṣẹ ni iṣeto ni, ati pe ipinnu eto ko ṣayẹwo deede ti awọn idahun lati ọdọ olupin DNS. A gba ikọlu naa ko ṣeeṣe nitori pe awọn orukọ ti o pada gbọdọ baamu awọn ipo ti a sọ nipasẹ CanonicalizePermittedCNAMEs.
Awọn iyipada miiran:
- Eto EnableEscapeCommandline kan ti ni afikun si ssh_config fun ssh lati ṣakoso boya sisẹ-ẹgbẹ alabara ti ọna abayo “~ C” ti o pese laini aṣẹ ti ṣiṣẹ. Nipa aiyipada, mimu “~C” jẹ alaabo ni bayi lati lo ipinya apoti iyanrin ti o ni wiwọ, awọn ọna ṣiṣe ti o le fọ ti o lo “~ C” fun fifiranšẹ siwaju ibudo ni akoko ṣiṣe.
- Ilana ChannelTimeout ti ni afikun si sshd_config fun sshd lati ṣeto akoko aiṣiṣẹ ti ikanni (awọn ikanni ninu eyiti ko si igbasilẹ ijabọ fun akoko ti a pato ninu itọsọna naa yoo wa ni pipade laifọwọyi). Awọn akoko ipari oriṣiriṣi le ṣee ṣeto fun igba, X11, aṣoju, ati itọsọna ijabọ.
- Ilana ti UnsedConnectionTimeout ti ni afikun si sshd_config fun sshd, gbigba ọ laaye lati ṣeto akoko-akoko kan lati fopin si awọn asopọ alabara ti o ti wa laisi awọn ikanni ti nṣiṣe lọwọ fun akoko kan.
- Aṣayan “-V” ti ṣafikun si sshd lati ṣafihan ẹya naa, iru si aṣayan ti o jọra ninu alabara ssh.
- Ṣafikun laini “Olulejo” si abajade ti “ssh -G”, ti n ṣe afihan iye ariyanjiyan orukọ olupin naa.
- Aṣayan "-X" ni a ti fi kun si scp ati sftp lati ṣakoso awọn ilana ilana SFTP gẹgẹbi iwọn ifipamọ ẹda ẹda ati nọmba awọn ibeere isunmọ.
- ssh-keyscan ngbanilaaye wiwawo awọn sakani adirẹsi CIDR ni kikun, fun apẹẹrẹ “ssh-keyscan 192.168.0.0/24”.
orisun: opennet.ru