تم إصدار OpenSSH 8.9 بالفعل وهذه هي أخبارها

بعد ستة أشهر من التطوير تم الإعلان عن إصدار OpenSSH 8.9، بحيث إصلاح الضعف في sshd والتي من المحتمل أن تسمح بالوصول بدون مصادقة. سبب المشكلة هو تجاوز عدد صحيح في رمز المصادقة ، ولكن الاستغلال ممكن فقط مع أخطاء منطقية أخرى في الكود.

في شكله الحالي ، لا يمكن استغلال الثغرة الأمنية عند تمكين تقسيم الامتيازات، حيث يتم حظر مظهره عن طريق عمليات فحص منفصلة يتم إجراؤها على كود تتبع تقسيم الامتياز.

تم تمكين وضع الامتياز المشترك افتراضيًا في 2002 اعتبارًا من OpenSSH 3.2.2 وهو مطلوب منذ إصدار 2017 من OpenSSH 7.5. بالإضافة إلى ذلك ، في الإصدارات المحمولة من OpenSSH منذ الإصدار 6.5 (2014) ، يتم حظر الثغرة الأمنية عن طريق التجميع مع تضمين العلامات للحماية من فيض الأعداد الصحيحة.

الميزات الرئيسية الجديدة لـ OpenSSH 8.9

في هذا الإصدار الجديد الذي تم تقديمه يمكننا أن نجد أن ليزيل الإصدار المحمول من OpenSSH دعم sshd المدمج لتجزئة كلمة المرور باستخدام خوارزمية MD5 (يُسمح بإعادة الارتباط بالمكتبات الخارجية مثل libxcrypt)
يقوم ssh و sshd و ssh-add و ssh-agent بتنفيذ نظام فرعي لتقييد إعادة التوجيه واستخدام المفاتيح المضافة إلى وكيل ssh.

النظام الفرعي يسمح لك بتعيين القواعد التي تحدد كيف وأين يمكن استخدام المفاتيح في وكيل ssh. على سبيل المثال ، لإضافة مفتاح لا يمكن استخدامه إلا للمصادقة عندما يتصل أي مستخدم بالمضيف scylla.example.org ، يتصل المستخدم الشخص بالمضيف cetus.example.org ، ويتصل المستخدم medea بالمضيف charybdis.example .org host ، إعادة التوجيه من خلال مضيف وسيط scylla.example.org.

En ssh و sshd ، قائمة خوارزميات Kex ، الذي يحدد الترتيب الذي يتم به اختيار طرق التبادل الرئيسية ، أضاف افتراضيًا الخوارزمية المختلطة "sntrup761x25519-sha512@openssh.com»(ECDH / x25519 + NTRU Prime) ، وهو مقاوم للتحديد في أجهزة الكمبيوتر الكمومية. في OpenSSH 8.9 ، تمت إضافة طريقة التفاوض هذه بين طريقتي ECDH و DH ، ولكن من المخطط تمكينها افتراضيًا في الإصدار التالي.

حسّن ssh-keygen و ssh و ssh-agent من التعامل مع مفاتيح FIDO المميزة تستخدم للتحقق من الجهاز ، بما في ذلك مفاتيح المصادقة البيومترية.

من التغييرات الأخرى التي تبرز في هذا الإصدار الجديد:

  • تمت إضافة الأمر "ssh-keygen -Y match-basic" إلى ssh-keygen للتحقق من أسماء المستخدمين في ملف يحتوي على قائمة بالأسماء المسموح بها.
  • يوفر ssh-add و ssh-agent القدرة على إضافة مفاتيح FIDO المحمية برمز PIN إلى وكيل ssh (يتم عرض مطالبة PIN في وقت المصادقة).
  • يسمح لك ssh-keygen باختيار خوارزمية التجزئة (sha512 أو sha256) أثناء التوقيع.
    لتحسين الأداء ، يقوم ssh و sshd بقراءة بيانات الشبكة مباشرة في المخزن المؤقت للحزمة الواردة ، متجاوزين المخزن المؤقت الوسيط في المكدس. يتم تنفيذ التنسيب المباشر للبيانات المستلمة في المخزن المؤقت للقناة بطريقة مماثلة.
  • في ssh ، وسع توجيه PubkeyAuthentication قائمة المعلمات المدعومة (نعم | لا | غير مرتبط | مرتبط بالمضيف) لتوفير القدرة على تحديد امتداد البروتوكول المراد استخدامه.

في إصدار مستقبلي ، من المخطط تغيير الأداة المساعدة scp الافتراضي لاستخدام SFTP بدلاً من بروتوكول SCP / RCP القديم. يستخدم SFTP طرقًا أكثر قابلية للتنبؤ للتعامل مع الاسم ولا يستخدم معالجة شل لأنماط الكرة الأرضية على أسماء الملفات على الجانب الآخر من المضيف ، مما يؤدي إلى حدوث مشكلات أمنية.

على وجه الخصوص ، عند استخدام SCP و RCP ، يقرر الخادم الملفات والأدلة التي سيتم إرسالها إلى العميل ، ويتحقق العميل فقط من صحة أسماء الكائنات التي تم إرجاعها ، مما يسمح ، في حالة عدم وجود فحوصات مناسبة من قبل العميل أن يقوم الخادم بنقل أسماء الملفات الأخرى التي تختلف عن تلك المطلوبة. لا يحتوي بروتوكول SFTP على هذه المشكلات ، لكنه لا يدعم توسيع مسارات خاصة مثل "~ /

أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها حول هذا الإصدار الجديد ، يمكنك التحقق من التفاصيل بالذهاب إلى الرابط التالي.

كيفية تثبيت OpenSSH 8.9 على نظام Linux؟

بالنسبة لأولئك المهتمين بالقدرة على تثبيت هذا الإصدار الجديد من OpenSSH على أنظمتهم ، في الوقت الحالي يمكنهم فعل ذلك تنزيل الكود المصدري لهذا و إجراء التجميع على أجهزة الكمبيوتر الخاصة بهم.

هذا لأن الإصدار الجديد لم يتم تضمينه بعد في مستودعات توزيعات Linux الرئيسية. للحصول على شفرة المصدر ، يمكنك القيام بذلك من ملف الرابط التالي.

تم التنزيل ، سنقوم الآن بفك ضغط الحزمة باستخدام الأمر التالي:

tar -xvf openssh-8.9.tar.gz

ندخل إلى الدليل الذي تم إنشاؤه:

cd openssh-8.9

Y يمكننا تجميعها الأوامر التالية:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: AB Internet Networks 2008 SL
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.