Human sa lima ka bulan nga kalamboan buhian , usa ka bukas nga kliyente ug pagpatuman sa server alang sa pagtrabaho pinaagi sa SSH 2.0 ug SFTP protocols.
Panguna nga mga pagbag-o:
- Ang eksperimento nga suporta alang sa usa ka mahinungdanong paagi sa pagbayloay nga makasugakod sa mga pag-atake sa brute-force sa usa ka quantum computer gidugang sa ssh ug sshd. Ang mga kompyuter sa quantum labi ka paspas sa pagsulbad sa problema sa pagkadunot sa usa ka natural nga numero ngadto sa panguna nga mga hinungdan, nga nagpailalom sa modernong asymmetric encryption algorithm ug dili epektibo nga masulbad sa mga klasikal nga processor. Ang gisugyot nga pamaagi gibase sa algorithm (function ntrup4591761), naugmad alang sa post-quantum cryptosystems, ug ang elliptic curve key exchange method X25519;
- Sa sshd, ang mga direktiba sa ListenAddress ug PermitOpen dili na mosuporta sa legacy nga "host/port" syntax, nga gipatuman niadtong 2001 isip alternatibo sa "host:port" aron mapasayon ββang pagtrabaho sa IPv6. Sa modernong mga kondisyon, ang syntax nga "[::6]:1" naestablisar para sa IPv22, ug ang "host/port" kasagarang gilibog sa pagpaila sa subnet (CIDR);
- Ang ssh, ssh-agent ug ssh-add karon nagsuporta sa mga yawe sa PKCS#11 token;
- Sa ssh-keygen, ang default nga RSA key nga gidak-on gidugangan ngadto sa 3072 bits, sumala sa bag-ong mga rekomendasyon sa NIST;
- Gitugotan sa ssh ang paggamit sa setting nga "PKCS11Provider=none" aron ma-override ang direktiba sa PKCS11Provider nga gipiho sa ssh_config;
- Naghatag ang sshd og log display sa mga sitwasyon kung ang koneksyon natapos sa dihang misulay sa pagpatuman sa mga sugo nga gibabagan sa "ForceCommand = internal-sftp" nga pagdili sa sshd_config;
- Sa ssh, kung magpakita sa usa ka hangyo aron kumpirmahon ang pagdawat sa usa ka bag-ong yawe sa host, imbis nga tubag nga "oo", ang husto nga fingerprint sa yawe gidawat na karon (agig tubag sa imbitasyon aron makumpirma ang koneksyon, mahimo kopyahon sa tiggamit ang gilain nga nakadawat reference hash pinaagi sa clipboard, aron dili kini mano-mano nga itandi);
- Ang ssh-keygen naghatag og awtomatik nga pagdugang sa numero sa pagkasunod-sunod sa sertipiko sa paghimo og mga digital nga pirma alang sa daghang mga sertipiko sa command line;
- Usa ka bag-ong opsyon nga "-J" ang gidugang sa scp ug sftp, katumbas sa setting sa ProxyJump;
- Sa ssh-agent, ssh-pkcs11-helper ug ssh-add, ang pagproseso sa opsyon sa command line nga "-v" gidugang aron madugangan ang sulod sa impormasyon sa output (kung gitakda, kini nga opsyon ipasa ngadto sa mga proseso sa bata, kay pananglitan, kung ang ssh-pkcs11-helper gitawag gikan sa ssh-agent );
- Ang "-T" nga kapilian gidugang sa ssh-add aron masulayan ang kaangayan sa mga yawe sa ssh-agent alang sa paghimo sa digital signature nga paghimo ug mga operasyon sa pag-verify;
- Ang sftp-server nagpatuman sa suporta alang sa "lsetstat sa openssh.com" nga extension sa protocol, nga nagdugang suporta alang sa SSH2_FXP_SETSTAT nga operasyon alang sa SFTP, apan walay pagsunod sa simbolikong mga link;
- Gidugang ang "-h" nga kapilian sa sftp sa pagpadagan sa chown/chgrp/chmod nga mga sugo nga adunay mga hangyo nga wala maggamit ug simbolikong mga sumpay;
- Ang sshd naghatag ug setting sa $SSH_CONNECTION environment variable para sa PAM;
- Para sa sshd, usa ka mode sa pagpares nga "Match final" ang gidugang sa ssh_config, nga susama sa "Match canonical", apan wala magkinahanglan nga ma-on ang hostname normalization;
- Gidugang nga suporta alang sa prefix nga '@' ngadto sa sftp aron ma-disable ang paghubad sa output sa mga sugo nga gipatuman sa batch mode;
- Kung gipakita nimo ang sulud sa usa ka sertipiko gamit ang mando
Ang "ssh-keygen -Lf /path/certificate" karon nagpakita sa algorithm nga gigamit sa CA sa pag-validate sa sertipiko; - Gipauswag nga suporta alang sa palibot sa Cygwin, pananglitan paghatag og case-insensitive nga pagtandi sa grupo ug mga ngalan sa user. Ang proseso sa sshd sa Cygwin port giusab ngadto sa cygsshd aron malikayan ang pagpanghilabot sa Microsoft-supplied OpenSSH port;
- Gidugang ang abilidad sa pagtukod gamit ang eksperimento nga OpenSSL 3.x nga sanga;
- Giwagtang (CVE-2019-6111) sa pagpatuman sa scp utility, nga nagtugot sa arbitraryong mga file sa target nga direktoryo nga ma-overwrit sa kilid sa kliyente kung mag-access sa usa ka server nga kontrolado sa usa ka tig-atake. Ang problema mao nga kung gamiton ang scp, ang server ang magdesisyon kung unsang mga file ug direktoryo ang ipadala sa kliyente, ug gisusi lamang sa kliyente ang katukma sa gibalik nga mga ngalan sa butang. Ang pagsusi sa bahin sa kliyente limitado lamang sa pagbabag sa pagbiyahe lapas sa kasamtangan nga direktoryo ("../"), apan wala gikonsiderar ang pagbalhin sa mga file nga adunay mga ngalan nga lahi sa orihinal nga gihangyo. Sa kaso sa recursive nga pagkopya (-r), dugang sa mga ngalan sa file, mahimo usab nimo nga manipulahon ang mga ngalan sa mga subdirectory sa parehas nga paagi. Pananglitan, kon ang user mokopya sa mga file ngadto sa home directory, ang server nga kontrolado sa tig-atake makahimo og mga file nga adunay mga ngalan nga .bash_aliases o .ssh/authorized_keys imbes sa gihangyo nga mga file, ug kini maluwas sa scp utility sa user's. direktoryo sa balay.
Sa bag-ong pagpagawas, ang scp utility gi-update aron masusi ang mga sulat tali sa mga ngalan sa file nga gihangyo ug kadtong gipadala sa server, nga gihimo sa kilid sa kliyente. Mahimo kini nga hinungdan sa mga problema sa pagproseso sa maskara, tungod kay ang mga karakter sa pagpalapad sa maskara mahimoβg maproseso nga lahi sa mga bahin sa server ug kliyente. Kung ang ingon nga mga kalainan hinungdan sa kliyente nga mohunong sa pagdawat sa mga file sa scp, ang "-T" nga kapilian gidugang aron dili ma-disable ang pagsusi sa kilid sa kliyente. Aron hingpit nga matul-id ang problema, gikinahanglan ang usa ka konseptwal nga pag-rework sa scp protocol, nga karaan na, mao nga girekomendar nga gamiton ang mas modernong mga protocol sama sa sftp ug rsync.
Source: opennet.ru