Die vrystelling van OpenSSH 9.0, 'n oop implementering van 'n kliënt en bediener om die SSH 2.0- en SFTP-protokolle te gebruik, is aangebied. In die nuwe weergawe is die scp-hulpprogram by verstek omgeskakel om SFTP te gebruik in plaas van die verouderde SCP/RCP-protokol.
SFTP gebruik meer voorspelbare naamhanteringsmetodes en gebruik nie dopverwerking van globpatrone in lêername aan die ander gasheer se kant nie, wat sekuriteitsprobleme skep. In die besonder, wanneer SCP en RCP gebruik word, besluit die bediener watter lêers en gidse om na die kliënt te stuur, en die kliënt kontroleer slegs die korrektheid van die teruggekeerde objekname, wat, in die afwesigheid van behoorlike kontrole aan die kliëntkant, die bediener om ander lêername oor te dra wat verskil van dié wat versoek is.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[e-pos beskerm]" om die ~/- en ~gebruiker/-paaie uit te brei.
Wanneer SFTP gebruik word, kan gebruikers ook onverenigbaarhede teëkom wat veroorsaak word deur die behoefte om spesiale paduitbreidingkarakters in SCP- en RCP-versoeke dubbel te ontsnap om hul interpretasie deur die afgeleë kant te voorkom. In SFTP is sulke ontsnapping nie nodig nie en ekstra aanhalings kan lei tot 'n data-oordragfout. Terselfdertyd het die OpenSSH-ontwikkelaars geweier om 'n uitbreiding by te voeg om die gedrag van scp in hierdie geval te herhaal, so dubbele ontsnapping word beskou as 'n fout wat nie sin maak om te herhaal nie.
Ander veranderinge in die nuwe weergawe:
- Ssh en sshd het 'n hibriede sleuteluitruilalgoritme by verstek geaktiveer "[e-pos beskerm]"(ECDH/x25519 + NTRU Prime), bestand teen pluk op kwantumrekenaars en gekombineer met ECDH/x25519 om moontlike probleme in NTRU Prime te blokkeer wat in die toekoms kan ontstaan. In die lys van KexAlgorithms, wat die volgorde bepaal waarin sleuteluitruilmetodes gekies word, word die genoemde algoritme nou eerste geplaas en het 'n hoër prioriteit as die ECDH- en DH-algoritmes.
Kwantumrekenaars het nog nie die vlak bereik om tradisionele sleutels te kraak nie, maar die gebruik van hibriede sekuriteit sal gebruikers beskerm teen aanvalle wat die stoor van onderskepte SSH-sessies behels in die hoop dat hulle in die toekoms gedekripteer kan word wanneer die nodige kwantumrekenaars beskikbaar word.
- Die "kopieer-data"-uitbreiding is by sftp-bediener gevoeg, wat jou toelaat om data aan die bedienerkant te kopieer, sonder om dit na die kliënt oor te dra, as die bron- en teikenlêers op dieselfde bediener is.
- Die "cp"-opdrag is by die sftp-hulpmiddel gevoeg om die kliënt te begin om lêers aan die bedienerkant te kopieer.
Bron: opennet.ru