Die Veröffentlichung von OpenSSH 9.0, einer offenen Implementierung eines Clients und Servers für die Arbeit mit den Protokollen SSH 2.0 und SFTP, wurde vorgestellt. In der neuen Version wurde das scp-Dienstprogramm standardmäßig auf die Verwendung von SFTP anstelle des veralteten SCP/RCP-Protokolls umgestellt.
SFTP verwendet vorhersehbarere Namensverarbeitungsmethoden und verwendet keine Shell-Verarbeitung von Glob-Mustern in Dateinamen auf der Seite des anderen Hosts, was zu Sicherheitsproblemen führt. Insbesondere bei der Verwendung von SCP und RCP entscheidet der Server, welche Dateien und Verzeichnisse an den Client gesendet werden, und der Client überprüft nur die Richtigkeit der zurückgegebenen Objektnamen, was bei fehlenden ordnungsgemäßen Überprüfungen auf der Clientseite dies ermöglicht Server andere als die angeforderten Dateinamen übertragen.
Das SFTP-Protokoll weist diese Probleme nicht auf, unterstützt jedoch nicht die Erweiterung spezieller Pfade wie „~/“. Um diesen Unterschied zu beseitigen, unterstützt die SFTP-Serverimplementierung ab OpenSSH 8.7 die Protokollerweiterung „[E-Mail geschützt] " um die Pfade ~/ und ~user/ zu erweitern.
Bei der Verwendung von SFTP können Benutzer auch auf Inkompatibilitäten stoßen, die durch die Notwendigkeit verursacht werden, spezielle Pfaderweiterungszeichen in SCP- und RCP-Anfragen doppelt zu maskieren, um deren Interpretation durch die Gegenseite zu verhindern. Bei SFTP ist ein solches Escapen nicht erforderlich und zusätzliche Anführungszeichen können zu einem Datenübertragungsfehler führen. Gleichzeitig weigerten sich die OpenSSH-Entwickler, in diesem Fall eine Erweiterung hinzuzufügen, um das Verhalten von scp zu reproduzieren, sodass doppeltes Escapen als Fehler angesehen wird, dessen Wiederholung keinen Sinn macht.
Weitere Änderungen in der neuen Version:
- Für SSH und SSHD ist standardmäßig ein hybrider Schlüsselaustauschalgorithmus aktiviert.[E-Mail geschützt] „(ECDH/x25519 + NTRU Prime), resistent gegen Hacking auf Quantencomputern und kombiniert mit ECDH/x25519, um mögliche Probleme in NTRU Prime zu blockieren, die in der Zukunft auftreten könnten. In der Liste der KexAlgorithms, die die Reihenfolge bestimmt, in der Schlüsselaustauschmethoden ausgewählt werden, steht der genannte Algorithmus nun an erster Stelle und hat eine höhere Priorität als die ECDH- und DH-Algorithmen.
Quantencomputer haben noch nicht das Niveau des Knackens herkömmlicher Schlüssel erreicht, aber der Einsatz hybrider Sicherheit schützt Benutzer vor Angriffen, bei denen abgefangene SSH-Sitzungen gespeichert werden, in der Hoffnung, dass sie in Zukunft entschlüsselt werden können, wenn die erforderlichen Quantencomputer verfügbar sind.
- Dem SFTP-Server wurde die Erweiterung „copy-data“ hinzugefügt, die es Ihnen ermöglicht, Daten auf der Serverseite zu kopieren, ohne sie an den Client zu übertragen, wenn sich die Quell- und Zieldateien auf demselben Server befinden.
- Der Befehl „cp“ wurde zum SFTP-Dienstprogramm hinzugefügt, um den Client zum Kopieren von Dateien auf der Serverseite zu veranlassen.
Source: opennet.ru