ProHoster > Blog > nutizie internet > Liberazione OpenSSH 8.0

Liberazione OpenSSH 8.0

Dopu à cinque mesi di sviluppu prisentatu liberazione OpenSSH 8.0, una implementazione di cliente è servitore apertu per travaglià via i protokolli SSH 2.0 è SFTP.

I cambiamenti principali:

  • Un supportu sperimentale per un metudu di scambiu chjave chì hè resistente à l'attacchi di forza bruta in un computer quantum hè statu aghjuntu à ssh è sshd. L'urdinatori quantistici sò radicali più veloci à risolve u prublema di descompone un numeru naturali in fattori primi, chì sottumette l'algoritmi di criptografia asimmetrici muderni è ùn ponu esse risolti in modu efficace nantu à i processori classici. U metudu prupostu hè basatu annantu à l'algoritmu NTRU Prime (funzione ntrup4591761), sviluppatu per i criptosistemi post-quantum, è u metudu di scambiu di chjave di curva ellittica X25519;
  • In sshd, i direttivi ListenAddress è PermitOpen ùn sustenenu più a sintassi legacy "host / port", chì hè stata implementata in 2001 com'è alternativa à "host:port" per simplificà u travagliu cù IPv6. In e cundizioni muderni, a sintassi "[::6]:1" hè stata stabilita per IPv22, è "host / portu" hè spessu cunfunditu cù indicà a subnet (CIDR);
  • ssh, ssh-agent è ssh-add supportanu avà e chjave ECDSA in PKCS#11 tokens;
  • In ssh-keygen, a dimensione predeterminata di a chjave RSA hè stata aumentata à 3072 bits, in cunfurmità cù novi cunsiglii NIST;
  • ssh permette l'usu di l'impostazione "PKCS11Provider=none" per annullà a direttiva PKCS11Provider specificata in ssh_config;
  • sshd furnisce una visualizazione di logu di situazioni quandu a cunnessione hè terminata quandu pruvate d'eseguisce cumandamenti bluccati da a restrizione "ForceCommand=internal-sftp" in sshd_config;
  • In ssh, quandu si mostra una dumanda per cunfirmà l'accettazione di una nova chjave d'ospite, invece di a risposta "sì", l'impronta digitale curretta di a chjave hè avà accettata (in risposta à l'invitu per cunfirmà a cunnessione, l'utilizatore pò copià Hash di riferimentu ricevutu separatamente via u clipboard, per ùn paragunà manualmente);
  • ssh-keygen furnisce l'incrementu automaticu di u numeru di sequenza di certificatu quandu creanu firme digitali per parechji certificati in a linea di cummanda;
  • Una nova opzione "-J" hè stata aghjunta à scp è sftp, equivalenti à l'impostazione ProxyJump;
  • In ssh-agent, ssh-pkcs11-helper è ssh-add, l'elaborazione di l'opzione di linea di cumanda "-v" hè stata aghjunta per aumentà u cuntenutu di l'infurmazioni di l'output (quandu hè specificatu, sta opzione hè trasmessa à i prucessi di i zitelli, per esempiu, quandu ssh-pkcs11-helper hè chjamatu da ssh-agent );
  • L'opzione "-T" hè stata aghjunta à ssh-add per pruvà l'idoneità di e chjave in ssh-agent per fà operazioni di creazione è verificazione di firma digitale;
  • sftp-server implementa u supportu per l'estensione di protokollu "lsetstat at openssh.com", chì aghjunghje supportu per l'operazione SSH2_FXP_SETSTAT per SFTP, ma senza seguità ligami simbolichi;
  • Aggiunta l'opzione "-h" à sftp per eseguisce chown / chgrp / chmod cumandamenti cù richieste chì ùn utilizanu ligami simbolichi;
  • sshd furnisce l'impostazione di a variabile d'ambiente $SSH_CONNECTION per PAM;
  • Per sshd, un modu di currispundenza "Match final" hè statu aghjuntu à ssh_config, chì hè simile à "Match canonical", ma ùn hè micca bisognu di a normalizazione di u nome di host per esse attivata;
  • Aghjunghje supportu per u prefissu '@' à sftp per disattivà a traduzzione di l'output di cumandamenti eseguiti in modu batch;
  • Quandu vi vede u cuntenutu di un certificatu cù u cumandimu
    "ssh-keygen -Lf /path/certificate" mostra avà l'algoritmu utilizatu da a CA per cunvalidà u certificatu;

  • Supportu migliuratu per l'ambienti Cygwin, per esempiu furnisce paraguni insensibili à u casu di gruppi è nomi d'utilizatori. U prucessu sshd in u portu Cygwin hè statu cambiatu à cygsshd per evità interferenza cù u portu OpenSSH furnitu da Microsoft;
  • Aggiunta a capacità di custruisce cù u ramu sperimentale OpenSSL 3.x;
  • Eliminatu vulnerabilità (CVE-2019-6111) in l'implementazione di l'utilità scp, chì permette à i fugliali arbitrarii in u cartulare di destinazione esse sovrascritti da u latu di u cliente quandu accede à un servitore cuntrullatu da un attaccu. U prublema hè chì quandu si usa scp, u servitore decide chì i schedari è i cartulari per mandà à u cliente, è u cliente verificate solu a correttezza di i nomi di l'ughjettu restituiti. A verificazione di u cliente hè limitata à solu bluccà u viaghju oltre u cartulare attuale ("../"), ma ùn piglia micca in contu u trasferimentu di fugliali cù nomi diffirenti da quelli urigginariamenti dumandati. In u casu di copia recursiva (-r), in più di i nomi di i schedari, pudete ancu manipulà i nomi di i subdirectori in una manera simile. Per esempiu, se l'utilizatore copia i schedari à u cartulare di casa, u servitore cuntrullatu da l'attaccante pò pruduce schedari cù i nomi .bash_aliases o .ssh/authorized_keys invece di i schedari dumandati, è seranu salvati da l'utilità scp in l'utilizatori di l'utilizatori. annuariu di casa.

    In a nova versione, l'utilità scp hè stata aghjurnata per verificà a currispundenza trà i nomi di schedari dumandati è quelli mandati da u servitore, chì hè realizatu da u cliente. Questu pò causà prublemi cù l'elaborazione di maschere, postu chì i caratteri di espansione di maschere ponu esse processati in modu diversu da u servitore è di u cliente. In casu chì tali differenze causanu à u cliente di cessà di accettà i fugliali in scp, l'opzione "-T" hè stata aghjunta per disattivà a verificazione di u cliente. Per curreghja cumplettamente u prublema, hè necessariu una rielaborazione conceptuale di u protokollu scp, chì ellu stessu hè digià obsoletu, per quessa, hè cunsigliatu di utilizà protokolli più muderni cum'è sftp è rsync invece.

Source: opennet.ru

Add a comment