Прадстаўлены рэліз OpenSSH 9.0, адкрытай рэалізацыі кліента і сервера для працы па пратаколах SSH 2.0 і SFTP. У новай версіі ўтыліта scp перакладзена па змаўчанні на выкарыстанне SFTP замест састарэлага пратаколу SCP/RCP.
У SFTP ужываюцца больш прадказальныя метады апрацоўкі імёнаў і не выкарыстоўваецца апрацоўка glob-шаблонаў у імёнах файлаў праз shell на боку іншага хаста, якая стварае праблемы з бяспекай. У прыватнасці, пры ўжыванні SCP і RCP сервер прымае рашэнне аб тым, якія файлы і каталогі адправіць кліенту, а кліент толькі правярае карэктнасць вернутых імёнаў аб'ектаў, што ў выпадку адсутнасці належных праверак на баку кліента дазваляе серверу перадаць іншыя імёны файлаў, якія адрозніваюцца ад запытаных.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[электронная пошта абаронена]» для раскрыцця шляхоў ~/ і ~user/.
Пры выкарыстанні SFTP карыстачы таксама могуць сутыкнуцца з несумяшчальнасцю, выкліканай неабходнасцю падвойнага экранавання спецзнакаў расчынення шляхоў у запытах SCP і RCP, каб прадухіліць іх інтэрпрэтацыю на выдаленым боку. У SFTP такое экранаванне не патрабуецца і лішнія двукоссі могуць прывесці да памылкі перадачы дадзеных. Пры гэтым распрацоўнікі OpenSSH адмовіліся ад дадання пашырэння для паўтарэння паводзін scp у гэтым выпадку, бо падвойнае экранаванне разглядаецца як недахоп, які не мае сэнс паўтараць.
Іншыя змены ў новым выпуску:
- У ssh і sshd па змаўчанні ўключаны гібрыдны алгарытм абмену ключамі.[электронная пошта абаронена]» (ECDH/x25519 + NTRU Prime), устойлівы да падбору на квантавых кампутарах і сумешчаны з ECDH/x25519 для блакавання магчымых праблем у NTRU Prime, якія могуць усплыць у будучыні. У спісе KexAlgorithms, які вызначае парадак выбару метадаў абмену ключамі, згаданы алгарытм зараз пастаўлены на першае месца і з'яўляецца больш прыярытэтным, чым алгарытмы ECDH і DH.
Квантавыя кампутары яшчэ не дасягнулі ўзроўня, які дазваляе ўзломваць традыцыйныя ключы, але ўжыванне гібрыднай абароны дазволіць ахаваць карыстачоў ад нападаў, злучаных з захаваннем перахопленых SSH-сеансаў з разлікам, што іх можна будзе расшыфраваць у будучыні, калі з'явяцца неабходныя квантавыя кампутары.
- У sftp-server дададзена пашырэнне "copy-data", якое дазваляе капіяваць дадзеныя на боку сервера, без транзітнай адпраўкі кліенту, калі зыходны і мэтавы файл знаходзяцца на адным серверы.
- Ва ўтыліту sftp дададзена каманда "cp" для ініцыявання кліентам капіявання файлаў на баку сервера.
Крыніца: opennet.ru