SSH bağlantı araçlarını içeren özgür bir yazılım olan ve %100 tam bir SSH protokolü 2.0 uygulaması olan OpenSSH‘in 9.3p2 sürümü duyuruldu. Bu sürümün, bir güvenlik hatasını giderdiği belirtilirken, ssh-agent’in PKCS#11 desteğinin, uzaktan erişim elde etmek için kötüye kullanılabilme olanağının ortadan kaldırıldığı söyleniyor. Projeye devam eden OpenSSH topluluğuna, projeye kod ve yama ile katkıda bulunanlara, hata bildiriminde bulunanlara, test sürecine katkıda bulunanlara ve projeye bağış yapanlara teşekkür edildiği belirtilirken, sftp istemci ve sunucu desteği içeren ve internet kullanıcılarının güvenini kazanan yazılıma bağışlar hakkında daha fazla bilginin bağışlar sayfasında bulunabileceği belirtiliyor. %100 eksiksiz bir SSH protokolü 2.0 uygulaması ve sftp istemcisi ve sunucu desteği içeren OpenSSH’nin gelecekteki bir sürümünün varsayılan olarak UpdateHostKeys’i etkinleştireceği, bunu da istemcinin otomatik olarak daha iyi algoritmalara geçmesine izin vermek için yapacağı söyleniyor. OpenSSH 9.3p2 hakkında bilgi edinmek için sürüm sayfasını ya da sürüm notlarını inceleyebilirsiniz.
Continue Reading →
İlk olarak 1995’te Finlandiya’da Helsinki Üniversitesi’nde araştırmacı olarak görev yapan Tatu Ylönen tarafından freeware olarak geliştirilen SSH projesinin kullanıcı sayısı 1995’in sonlarına doğru 50 farklı ülkede 20.000’lere ulaşmıştı. SSH yazılımının orijinal sürümü özgür yazılımların çeşitli parçalarında kullanıldı. 1999’da, geliştiriciler SSH’ın özgür yazılım olan halini istediler ve bu yüzden orijinal SSH programının 1.2.12 olan sürümüne (bu sürüm özgür yazılım olarak çıkmıştı) geri döndüler. Björn Grönvall daha sonra OSSH’yi bu kod tabanıyla geliştirdi. Kısaca bundan sonra, OpenBSD geliştiricileri Grönvall’ın kodunu çatalladı ve geniş ölçüde bunun üzerinde çalıştılar, OpenSSH oluşturuldu. 2006’da protokolün gözden geçirilmiş bir sürümü olan SSH-2 bir standart olarak kabul edildi. Bu sürüm SSH-1 ile bağdaşmayan bir sürümdü. Kasım 2008’de, SSH’nin tüm sürümlerinde teorik bir güvenlik açığı fark edildi. Bu şifrelenmiş metnin bir bloğundan düz metnin 32 bit üzerinde bir düz metin dönüşümüne izin veren bir güvenlik açığıydı. Bu durumda Standart OpenSSH yapılandırmasını kullanarak, saldırganların başarı olasılığı düz metnin 32 bitlik dönüşümü içindi. OpenSSH 5.2 ise bu tür güvenlik açıklarına karşı davranışları değiştirilmiş bir şekilde çıkarıldı. SSH Dosya İletim Protokolü (SFTP), FTP’ye bir güvenlik alternatifidir (SSH üzerinde FTP ile karıştırılmamalıdır). OpenSSH 9.3p2 edinmek için aşağıdaki linklerden yararlanabilirsiniz.
SSH bağlantı araçlarını içeren özgür bir yazılım olan ve %100 tam bir SSH protokolü 2.0 uygulaması olan OpenSSH‘de 2 Temmuz 2024 Salı günü yayımladığımız bir haber ile “regreSSHion” adlı kritik bir güvenlik açığı tespit edildiğini bildirmiştik. OpenSSH, haberde belirttiğimiz ve Qualys blog‘u referans gösterdiğimiz konuya ilişkin olarak, kritik güvenlik açıklarını düzeltmek üzere hemen harekete geçti. Yazılımın, aynı zamanda, ssh’deki mantık hatalarını da düzelttiği söyleniyor. Buna ilişkin olarak OpenSSH 9.8‘in yayınlandığını duyuran proje, kök ayrıcalıklarıyla rastgele kod yürütülmesine olanak sağlayan güvenlik açığınıı düzeltmiş bulunuyor. Bir diğer önemli düzeltme ise 9.5’ten 9.7’ye kadar olan sürümlerde ObscureKeystrokeTiming özelliğini etkisiz hale getiren bir mantık hatasının düzeltilmesi oldu. Bunun dışında, OpenSSH’nin, DSA imza algoritması desteğini 2025’in başlarına kadar aşamalı olarak tamamen kaldırmayı planladığını bildirmek isteriz.
