Ang pagpagawas sa OpenSSH 8.8 gimantala, usa ka bukas nga pagpatuman sa usa ka kliyente ug server alang sa pagtrabaho gamit ang SSH 2.0 ug SFTP protocols. Ang pagpagawas kay bantogan tungod sa pag-disable pinaagi sa default ang abilidad sa paggamit sa digital signatures base sa RSA keys nga adunay SHA-1 hash (βssh-rsaβ).
Ang paghunong sa suporta alang sa "ssh-rsa" nga mga pirma tungod sa dugang nga kahusayan sa mga pag-atake sa pagbangga nga adunay gihatag nga prefix (ang gasto sa pagpili sa usa ka bangga gibana-bana sa gibana-bana nga $50 ka libo). Aron masulayan ang paggamit sa ssh-rsa sa imong mga sistema, mahimo nimong sulayan ang pagkonektar pinaagi sa ssh gamit ang kapilian nga "-oHostKeyAlgorithms=-ssh-rsa". Ang suporta alang sa mga pirma sa RSA nga adunay SHA-256 ug SHA-512 nga mga hash (rsa-sha2-256/512), nga gisuportahan sukad sa OpenSSH 7.2, nagpabilin nga wala mausab.
Sa kasagaran nga mga kaso, ang paghunong sa suporta alang sa "ssh-rsa" dili magkinahanglan og bisan unsang manwal nga mga aksyon gikan sa mga tiggamit, tungod kay ang OpenSSH kaniadto adunay UpdateHostKeys setting nga gipagana pinaagi sa default, nga awtomatikong migrate sa mga kliyente ngadto sa mas kasaligan nga mga algorithm. Alang sa paglalin, ang extension sa protocol "[protektado sa email]", nagtugot sa server, human sa pag-authentication, sa pagpahibalo sa kliyente mahitungod sa tanang anaa nga mga yawe sa host. Sa kaso sa pagkonektar sa mga host nga adunay daan na nga mga bersyon sa OpenSSH sa kilid sa kliyente, mahimo nimong pilion nga ibalik ang abilidad sa paggamit sa "ssh-rsa" nga mga pirma pinaagi sa pagdugang sa ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Gisulbad usab sa bag-ong bersyon ang usa ka isyu sa seguridad nga gipahinabo sa sshd, sugod sa OpenSSH 6.2, dili husto nga pagsugod sa grupo sa gumagamit kung gipatuman ang mga mando nga gitakda sa mga direktiba sa AuthorizedKeysCommand ug AuthorizedPrincipalsCommand. Kini nga mga direktiba kinahanglan nga tugutan ang mga mando nga ipadagan sa ilawom sa usa ka lahi nga tiggamit, apan sa tinuud napanunod nila ang lista sa mga grupo nga gigamit sa pagdagan sa sshd. Posible, kini nga pamatasan, sa presensya sa pipila nga mga setting sa sistema, gitugotan ang gilunsad nga handler nga makakuha dugang nga mga pribilehiyo sa sistema.
Ang bag-ong nota sa pagpagawas naglakip usab sa usa ka pasidaan nga ang scp mahimong default sa SFTP imbes sa kabilin nga SCP/RCP protocol. Ang SFTP naggamit ug mas matag-an nga paagi sa pagdumala sa ngalan ug wala mogamit sa shell processing sa glob patterns sa mga file name sa pikas host, nga nagmugna og mga problema sa seguridad. Sa partikular, kung gigamit ang SCP ug RCP, ang server nagdesisyon kung unsang mga file ug direktoryo ang ipadala sa kliyente, ug gisusi lamang sa kliyente ang katukma sa gibalik nga mga ngalan sa butang, nga, kung walaβy husto nga pagsusi sa bahin sa kliyente, gitugotan ang server aron ibalhin ang ubang mga ngalan sa file nga lahi sa gihangyo. Ang SFTP protocol wala niini nga mga problema, apan wala nagsuporta sa pagpalapad sa espesyal nga mga agianan sama sa "~/". Aron matubag kini nga kalainan, ang miaging pagpagawas sa OpenSSH nagpaila sa usa ka bag-ong SFTP protocol extension sa ~/ ug ~user/ mga agianan sa pagpatuman sa SFTP server.
Source: opennet.ru