A liberazione di OpenSSH 8.8 hè stata publicata, una implementazione aperta di un cliente è servitore per travaglià cù i protokolli SSH 2.0 è SFTP. A liberazione hè notevule per disattivà per difettu a capacità di utilizà signature digitale basate nantu à e chjave RSA cù un hash SHA-1 ("ssh-rsa").
A cessazione di supportu per e signature "ssh-rsa" hè duvuta à l'efficienza aumentata di l'attacchi di collisione cù un prefissu determinatu (u costu di selezzione di una collisione hè stimatu à circa $ 50 mila). Per pruvà l'usu di ssh-rsa in i vostri sistemi, pudete pruvà à cunnette via ssh cù l'opzione "-oHostKeyAlgorithms=-ssh-rsa". U supportu per e signature RSA cù hash SHA-256 è SHA-512 (rsa-sha2-256/512), chì sò stati supportati da OpenSSH 7.2, resta invariatu.
In a maiò parte di i casi, a discontinuazione di u supportu per "ssh-rsa" ùn hà micca bisognu di alcuna azzione manuale da l'utilizatori, postu chì OpenSSH avia prima l'impostazione UpdateHostKeys attivata per automaticamente, chì migra automaticamente i clienti à algoritmi più affidabili. Per a migrazione, l'estensione di protokollu "[email prutettu]", chì permette à u servitore, dopu l'autentificazione, informà u cliente nantu à tutte e chjave di l'ospiti dispunibili. In casu di cunnessione à l'ospiti cù versioni assai antiche di OpenSSH da u latu di u cliente, pudete turnà selettivamente l'abilità di utilizà signature "ssh-rsa" aghjustendu à ~/.ssh/config: Host old_hostname HostkeyAlgorithms + ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
A nova versione risolve ancu un prublema di sicurezza causatu da sshd, cuminciendu cù OpenSSH 6.2, ùn inizializza micca bè u gruppu d'utilizatori quandu eseguisce cumandamenti specificati in i direttivi AuthorizedKeysCommand è AuthorizedPrincipalsCommand. Queste direttive anu da esse permessu di eseguisce cumandamenti sottu un utilizatore sfarente, ma in fattu ereditatu a lista di gruppi utilizati quandu eseguisce sshd. Potenzialmente, stu cumpurtamentu, in presenza di certi paràmetri di u sistema, hà permessu à u gestore lanciatu di guadagnà privilegi supplementari in u sistema.
A nova nota di liberazione include ancu un avvertimentu chì scp serà predeterminatu à SFTP invece di u protokollu SCP / RCP legatu. SFTP usa i metudi di gestione di nomi più prevedibili è ùn usa micca a trasfurmazioni di cunchiglia di mudelli glob in i nomi di schedari da l'altru host, chì crea prublemi di sicurezza. In particulare, quandu si usa SCP è RCP, u servitore decide quali fugliali è cartulari per mandà à u cliente, è u cliente verifica solu a correttezza di i nomi di l'uggetti restituiti, chì, in l'absenza di cuntrolli adattati da u cliente, permette à u cliente. servitore per trasferisce altri nomi di schedari chì differenu da quelli dumandati. U protokollu SFTP ùn hà micca questi prublemi, ma ùn sustene micca l'espansione di percorsi speciali cum'è "~/". Per affruntà sta diferenza, una nova estensione à u protokollu SFTP hè stata pruposta in a versione precedente di OpenSSH in l'implementazione di u servitore SFTP per espansione i percorsi ~/ è ~ user/.
Source: opennet.ru