ProHoster > Блог > internet vijesti > Izdanje OpenSSH 8.0

Izdanje OpenSSH 8.0

Nakon pet mjeseci razvoja predstavljen pustiti OpenSSH 8.0, implementacija otvorenog klijenta i servera za rad preko SSH 2.0 i SFTP protokola.

Glavne promjene:

  • Eksperimentalna podrška za metodu razmjene ključeva koja je otporna na brute-force napade na kvantni računar dodana je u ssh i sshd. Kvantni računari su radikalno brži u rješavanju problema dekompozicije prirodnog broja na proste faktore, što leži u osnovi modernih asimetričnih algoritama šifriranja i ne može se efikasno riješiti na klasičnim procesorima. Predložena metoda je zasnovana na algoritmu NTRU Prime (funkcija ntrup4591761), razvijena za post-kvantne kriptosisteme, i metodu razmjene ključeva eliptičke krive X25519;
  • U sshd, ListenAddress i PermitOpen direktive više ne podržavaju naslijeđenu sintaksu "host/port", koja je implementirana 2001. godine kao alternativa "host:port" kako bi se pojednostavio rad sa IPv6. U savremenim uslovima, sintaksa “[::6]:1” je uspostavljena za IPv22, a “host/port” se često meša sa označavanjem podmreže (CIDR);
  • ssh, ssh-agent i ssh-add sada podržavaju ključeve ECDSA u PKCS#11 tokenima;
  • U ssh-keygenu, zadana veličina RSA ključa je povećana na 3072 bita, u skladu s novim preporukama NIST-a;
  • ssh dozvoljava upotrebu postavke "PKCS11Provider=none" za nadjačavanje direktive PKCS11Provider specificirane u ssh_config;
  • sshd pruža prikaz evidencije situacija kada je veza prekinuta prilikom pokušaja izvršenja naredbi blokiranih ograničenjem “ForceCommand=internal-sftp” u sshd_config;
  • U ssh-u, kada se prikaže zahtjev za potvrdu prihvatanja novog ključa hosta, umjesto odgovora „da“, sada se prihvata ispravan otisak ključa (u odgovoru na poziv za potvrdu veze, korisnik može kopirati odvojeno primljen referentni hash preko međuspremnika, kako ga ne bismo ručno upoređivali);
  • ssh-keygen omogućava automatsko povećanje rednog broja certifikata prilikom kreiranja digitalnih potpisa za više certifikata na komandnoj liniji;
  • Nova opcija "-J" je dodana scp-u i sftp-u, što je ekvivalentno postavci ProxyJump;
  • U ssh-agent, ssh-pkcs11-helper i ssh-add, dodata je obrada opcije komandne linije “-v” kako bi se povećao sadržaj informacija u izlazu (kada je navedena, ova opcija se prosljeđuje na podređene procese, za na primjer, kada se ssh-pkcs11-helper pozove iz ssh-agenta);
  • Opcija “-T” je dodana u ssh-add za testiranje podobnosti ključeva u ssh-agentu za izvođenje operacija kreiranja i verifikacije digitalnog potpisa;
  • sftp-server implementira podršku za ekstenziju protokola “lsetstat at openssh.com”, koja dodaje podršku za SSH2_FXP_SETSTAT operaciju za SFTP, ali bez praćenja simboličkih veza;
  • Dodata "-h" opcija za sftp za pokretanje chown/chgrp/chmod komandi sa zahtjevima koji ne koriste simboličke veze;
  • sshd pruža podešavanje varijable okruženja $SSH_CONNECTION za PAM;
  • Za sshd, modus podudaranja “Match final” je dodat u ssh_config, koji je sličan “Match canonical”, ali ne zahtijeva normalizaciju imena hosta da bude omogućena;
  • Dodata podrška za '@' prefiks za sftp za onemogućavanje prevođenja izlaza naredbi koje se izvršavaju u batch modu;
  • Kada prikažete sadržaj certifikata pomoću naredbe
    "ssh-keygen -Lf /path/certificate" sada prikazuje algoritam koji koristi CA za validaciju sertifikata;

  • Poboljšana podrška za Cygwin okruženje, na primjer pružanje poređenja imena grupa i korisnika bez obzira na velika i mala slova. Sshd proces u Cygwin portu je promijenjen u cygsshd kako bi se izbjegle smetnje sa OpenSSH portom koji je isporučio Microsoft;
  • Dodata mogućnost izgradnje sa eksperimentalnom granom OpenSSL 3.x;
  • Eliminisano ranjivost (CVE-2019-6111) u implementaciji scp uslužnog programa, koji omogućava da se proizvoljni fajlovi u ciljnom direktoriju prepisuju na strani klijenta kada se pristupa serveru koji kontroliše napadač. Problem je u tome što kada se koristi scp, server odlučuje koje datoteke i direktorije će poslati klijentu, a klijent samo provjerava ispravnost vraćenih imena objekata. Provjera na strani klijenta je ograničena samo na blokiranje putovanja izvan trenutnog direktorija (../”), ali ne uzima u obzir prijenos datoteka s nazivima drugačijim od prvobitno traženih. U slučaju rekurzivnog kopiranja (-r), pored imena datoteka, na sličan način možete manipulirati i imenima poddirektorija. Na primjer, ako korisnik kopira datoteke u kućni direktorij, server koji kontrolira napadač može proizvesti datoteke s imenima .bash_aliases ili .ssh/authorized_keys umjesto traženih datoteka, a scp uslužni program će ih spremiti u korisnikovu kućni imenik.

    U novom izdanju, scp uslužni program je ažuriran da provjeri korespondenciju između traženih naziva datoteka i onih koje šalje server, što se izvodi na strani klijenta. Ovo može uzrokovati probleme s obradom maske, budući da znakovi proširenja maske mogu biti različito obrađeni na strani servera i klijenta. U slučaju da takve razlike uzrokuju da klijent prestane da prihvata datoteke u scp-u, dodata je opcija “-T” da onemogući provjeru na strani klijenta. Da bi se problem u potpunosti ispravio, potrebna je konceptualna prerada scp protokola, koji je sam po sebi već zastario, pa se preporučuje korištenje modernijih protokola kao što su sftp i rsync.

izvor: opennet.ru

Dodajte komentar