تم نشر إصدار OpenSSH 8.8، وهو تطبيق مفتوح للعميل والخادم للعمل باستخدام بروتوكولي SSH 2.0 وSFTP. يتميز الإصدار بتعطيله افتراضيًا القدرة على استخدام التوقيعات الرقمية بناءً على مفاتيح RSA مع تجزئة SHA-1 ("ssh-rsa").
يرجع توقف دعم توقيعات "ssh-rsa" إلى زيادة كفاءة هجمات التصادم ببادئة معينة (تقدر تكلفة اختيار التصادم بحوالي 50 ألف دولار). لاختبار استخدام ssh-rsa على أنظمتك، يمكنك تجربة الاتصال عبر ssh باستخدام خيار "-oHostKeyAlgorithms=-ssh-rsa". يظل دعم توقيعات RSA مع تجزئات SHA-256 وSHA-512 (rsa-sha2-256/512)، والتي تم دعمها منذ OpenSSH 7.2، دون تغيير.
في معظم الحالات، لن يتطلب إيقاف دعم "ssh-rsa" أي إجراءات يدوية من المستخدمين، نظرًا لأن OpenSSH تم تمكين إعداد UpdateHostKeys مسبقًا بشكل افتراضي، والذي يقوم تلقائيًا بترحيل العملاء إلى خوارزميات أكثر موثوقية. بالنسبة للهجرة، ملحق البروتوكول "[البريد الإلكتروني محمي]"، مما يسمح للخادم، بعد المصادقة، بإبلاغ العميل بجميع مفاتيح المضيف المتاحة. في حالة الاتصال بالمضيفين الذين لديهم إصدارات قديمة جدًا من OpenSSH من جانب العميل، يمكنك إرجاع القدرة على استخدام توقيعات "ssh-rsa" بشكل انتقائي عن طريق الإضافة إلى ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
يعمل الإصدار الجديد أيضًا على حل مشكلة أمنية ناجمة عن sshd، بدءًا من OpenSSH 6.2، وعدم تهيئة مجموعة المستخدمين بشكل صحيح عند تنفيذ الأوامر المحددة في توجيهات AuthorizedKeysCommand وAuthorizedPrincipalsCommand. كان من المفترض أن تسمح هذه التوجيهات بتشغيل الأوامر تحت مستخدم مختلف، لكنها في الواقع ورثت قائمة المجموعات المستخدمة عند تشغيل sshd. من المحتمل أن يكون هذا السلوك، في ظل وجود إعدادات معينة للنظام، قد سمح للمعالج الذي تم تشغيله بالحصول على امتيازات إضافية على النظام.
تتضمن ملاحظة الإصدار الجديد أيضًا تحذيرًا بأن scp سيتم تعيينه افتراضيًا على SFTP بدلاً من بروتوكول SCP/RCP القديم. يستخدم SFTP أساليب معالجة أسماء أكثر قابلية للتنبؤ بها ولا يستخدم معالجة الصدفة لأنماط الكرة الأرضية في أسماء الملفات من جانب المضيف الآخر، مما يؤدي إلى حدوث مشكلات أمنية. على وجه الخصوص، عند استخدام SCP وRCP، يقرر الخادم الملفات والدلائل التي سيتم إرسالها إلى العميل، ويتحقق العميل فقط من صحة أسماء الكائنات التي تم إرجاعها، مما يسمح، في حالة عدم وجود عمليات التحقق المناسبة من جانب العميل، الخادم لنقل أسماء الملفات الأخرى التي تختلف عن تلك المطلوبة. لا يعاني بروتوكول SFTP من هذه المشاكل، لكنه لا يدعم توسيع المسارات الخاصة مثل "~/". لمعالجة هذا الاختلاف، قدم الإصدار السابق من OpenSSH امتدادًا جديدًا لبروتوكول SFTP إلى مسارات ~/ و~user/ في تنفيذ خادم SFTP.
المصدر: opennet.ru