🥇Версия на OpenSSH 8.0

След пет месеца разработка представени освобождаване OpenSSH 8.0, отворена клиентска и сървърна реализация за работа чрез протоколите SSH 2.0 и SFTP.

Основни промени:

Експериментална поддръжка за метод за обмен на ключове, който е устойчив на атаки с груба сила на квантов компютър, е добавена към ssh и sshd. Квантовите компютри са радикално по-бързи при решаването на проблема с разлагането на естествено число на прости множители, което е в основата на съвременните алгоритми за асиметрично криптиране и не може да бъде ефективно решено на класически процесори. Предложеният метод се основава на алгоритъма NTRU Prime (функция ntrup4591761), разработена за пост-квантови криптосистеми и метод за обмен на ключове на елиптичната крива X25519;
В sshd директивите ListenAddress и PermitOpen вече не поддържат наследения синтаксис "host/port", който беше внедрен през 2001 г. като алтернатива на "host:port" за опростяване на работата с IPv6. В съвременните условия синтаксисът “[::6]:1” е установен за IPv22, а “хост/порт” често се бърка с указване на подмрежата (CIDR);
ssh, ssh-agent и ssh-add вече поддържат ключове ECDSA в PKCS#11 токени;
В ssh-keygen размерът на RSA ключа по подразбиране е увеличен до 3072 бита, в съответствие с новите препоръки на NIST;
ssh позволява използването на настройката "PKCS11Provider=none" за отмяна на директивата PKCS11Provider, посочена в ssh_config;
sshd предоставя показване на журнал на ситуации, когато връзката е прекъсната при опит за изпълнение на команди, блокирани от ограничението „ForceCommand=internal-sftp“ в sshd_config;
В ssh, когато се показва заявка за потвърждение на приемането на нов хост ключ, вместо отговора „да“, вече се приема правилният отпечатък на ключа (в отговор на поканата за потвърждение на връзката, потребителят може да копира отделно получен референтен хеш чрез клипборда, за да не го сравнявате ръчно);
ssh-keygen осигурява автоматично увеличаване на поредния номер на сертификата при създаване на цифрови подписи за множество сертификати в командния ред;
Добавена е нова опция "-J" към scp и sftp, еквивалентна на настройката ProxyJump;
В ssh-agent, ssh-pkcs11-helper и ssh-add е добавена обработка на опцията на командния ред „-v“ за увеличаване на информационното съдържание на изхода (когато е зададена, тази опция се предава на дъщерни процеси, за например, когато ssh-pkcs11-helper се извиква от ssh-agent );
Опцията „-T“ е добавена към ssh-add за тестване на пригодността на ключовете в ssh-agent за извършване на операции по създаване и проверка на цифров подпис;
sftp-сървърът реализира поддръжка за разширението на протокола „lsetstat at openssh.com“, което добавя поддръжка за операцията SSH2_FXP_SETSTAT за SFTP, но без следване на символни връзки;
Добавена е опция "-h" към sftp за изпълнение на команди chown/chgrp/chmod със заявки, които не използват символни връзки;
sshd осигурява настройка на променливата на средата $SSH_CONNECTION за PAM;
За sshd към ssh_config е добавен режим на съвпадение „Match final“, който е подобен на „Match canonical“, но не изисква нормализирането на името на хоста да бъде активирано;
Добавена е поддръжка за префикса '@' към sftp за деактивиране на превода на изхода на команди, изпълнявани в пакетен режим;
Когато показвате съдържанието на сертификат с помощта на командата
"ssh-keygen -Lf /path/certificate" вече показва алгоритъма, използван от CA за валидиране на сертификата;
Подобрена поддръжка за средата на Cygwin, например осигуряване на сравнение между главни и малки букви на групови и потребителски имена. Процесът на sshd в порта на Cygwin е променен на cygsshd, за да се избегне смущение с доставения от Microsoft OpenSSH порт;
Добавена е възможност за изграждане с експерименталния клон OpenSSL 3.x;
Елиминиран уязвимост (CVE-2019-6111) в изпълнението на помощната програма scp, която позволява произволни файлове в целевата директория да бъдат презаписани от страна на клиента при достъп до сървър, контролиран от нападател. Проблемът е, че когато се използва scp, сървърът решава кои файлове и директории да изпрати на клиента, а клиентът проверява само коректността на върнатите имена на обекти. Проверката от страна на клиента е ограничена само до блокиране на пътуване извън текущата директория (“../”), но не взема предвид прехвърлянето на файлове с имена, различни от първоначално заявените. В случай на рекурсивно копиране (-r), в допълнение към имената на файловете, можете също да манипулирате имената на поддиректориите по подобен начин. Например, ако потребителят копира файлове в домашната директория, сървърът, контролиран от атакуващия, може да създаде файлове с имената .bash_aliases или .ssh/authorized_keys вместо заявените файлове и те ще бъдат запазени от помощната програма scp в потребителския начална директория.
В новата версия помощната програма scp е актуализирана, за да проверява съответствието между заявените имена на файлове и тези, изпратени от сървъра, което се извършва от страна на клиента. Това може да причини проблеми с обработката на маска, тъй като символите за разширяване на маската може да се обработват по различен начин от страна на сървъра и клиента. В случай, че такива разлики накарат клиента да спре да приема файлове в scp, опцията „-T“ е добавена за деактивиране на проверката от страна на клиента. За пълно коригиране на проблема е необходима концептуална преработка на протокола scp, който сам по себе си вече е остарял, така че се препоръчва вместо него да се използват по-модерни протоколи като sftp и rsync.

Източник: opennet.ru

Версия на OpenSSH 8.0

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар