S'ha presentat el llançament d'OpenSSH 9.0, una implementació oberta d'un client i servidor per treballar amb els protocols SSH 2.0 i SFTP. A la nova versió, la utilitat scp s'ha canviat per defecte per utilitzar SFTP en comptes del protocol SCP/RCP obsolet.
SFTP utilitza mètodes de gestió de noms més predictibles i no utilitza el processament de l'intèrpret d'ordres dels patrons glob en els noms de fitxers de l'altre amfitrió, cosa que crea problemes de seguretat. En particular, quan s'utilitza SCP i RCP, el servidor decideix quins fitxers i directoris enviar al client, i el client només comprova la correcció dels noms d'objectes retornats, cosa que, en absència de comprovacions adequades al costat del client, permet servidor per transferir altres noms de fitxer que difereixen dels sol·licitats.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[protegit per correu electrònic]" per ampliar els camins ~/ i ~user/.
Quan utilitzen SFTP, els usuaris també poden trobar incompatibilitats causades per la necessitat d'escapar doblement els caràcters d'expansió de camins especials a les sol·licituds SCP i RCP per evitar la seva interpretació pel costat remot. A SFTP, aquesta escapada no és necessària i les cometes addicionals poden provocar un error de transferència de dades. Al mateix temps, els desenvolupadors d'OpenSSH es van negar a afegir una extensió per replicar el comportament de scp en aquest cas, de manera que l'escapament doble es considera un defecte que no té sentit repetir.
Altres canvis a la nova versió:
- Ssh i sshd tenen un algorisme d'intercanvi de claus híbrid habilitat per defecte "[protegit per correu electrònic]"(ECDH/x25519 + NTRU Prime), resistent al picking en ordinadors quàntics i combinat amb ECDH/x25519 per bloquejar possibles problemes a NTRU Prime que puguin sorgir en el futur. A la llista de KexAlgorithms, que determina l'ordre en què es seleccionen els mètodes d'intercanvi de claus, l'algoritme esmentat es col·loca ara en primer lloc i té una prioritat més alta que els algorismes ECDH i DH.
Els ordinadors quàntics encara no han assolit el nivell de trencament de claus tradicionals, però l'ús de la seguretat híbrida protegirà els usuaris d'atacs que impliquen emmagatzemar sessions SSH interceptades amb l'esperança que es puguin desxifrar en el futur quan estiguin disponibles els ordinadors quàntics necessaris.
- S'ha afegit l'extensió "copy-data" a sftp-server, que us permet copiar dades al costat del servidor, sense transitar-les al client, si els fitxers d'origen i de destinació es troben al mateix servidor.
- S'ha afegit l'ordre "cp" a la utilitat sftp per iniciar el client a copiar fitxers al costat del servidor.
Font: opennet.ru