Udgivelsen af OpenSSH 9.0, en åben implementering af en klient og server til at arbejde med SSH 2.0- og SFTP-protokollerne, er blevet præsenteret. I den nye version er scp-værktøjet blevet skiftet som standard til at bruge SFTP i stedet for den forældede SCP/RCP-protokol.
SFTP bruger mere forudsigelige navnehåndteringsmetoder og bruger ikke shell-behandling af glob-mønstre i filnavne på den anden værts side, hvilket skaber sikkerhedsproblemer. Specielt ved brug af SCP og RCP bestemmer serveren, hvilke filer og mapper der skal sendes til klienten, og klienten kontrollerer kun rigtigheden af de returnerede objektnavne, hvilket i mangel af korrekt kontrol på klientsiden tillader server til at overføre andre filnavne, der adskiller sig fra de anmodede.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[e-mail beskyttet]" for at udvide ~/- og ~user/-stierne.
Når du bruger SFTP, kan brugere også støde på inkompatibiliteter forårsaget af behovet for at dobbelt-escape specielle stiudvidelsestegn i SCP- og RCP-anmodninger for at forhindre deres fortolkning af den eksterne side. I SFTP er sådan escape ikke påkrævet, og ekstra tilbud kan føre til en dataoverførselsfejl. Samtidig nægtede OpenSSH-udviklerne at tilføje en udvidelse for at replikere scp-opførselen i dette tilfælde, så dobbelt escape betragtes som en fejl, der ikke giver mening at gentage.
Andre ændringer i den nye udgivelse:
- Ssh og sshd har en hybrid nøgleudvekslingsalgoritme aktiveret som standard "[e-mail beskyttet]"(ECDH/x25519 + NTRU Prime), modstandsdygtig over for picking på kvantecomputere og kombineret med ECDH/x25519 for at blokere mulige problemer i NTRU Prime, der kan opstå i fremtiden. I listen over KexAlgorithms, som bestemmer rækkefølgen, som nøgleudvekslingsmetoderne vælges i, er den nævnte algoritme nu placeret først og har en højere prioritet end ECDH- og DH-algoritmerne.
Kvantecomputere har endnu ikke nået niveauet for at knække traditionelle nøgler, men brug af hybrid sikkerhed vil beskytte brugere mod angreb, der involverer lagring af opsnappede SSH-sessioner i håb om, at de kan dekrypteres i fremtiden, når de nødvendige kvantecomputere bliver tilgængelige.
- Udvidelsen "copy-data" er blevet tilføjet til sftp-serveren, som giver dig mulighed for at kopiere data på serversiden uden at overføre dem til klienten, hvis kilde- og målfilerne er på samme server.
- Kommandoen "cp" er blevet tilføjet til sftp-værktøjet for at starte klienten til at kopiere filer på serversiden.
Kilde: opennet.ru