Παρουσιάστηκε η κυκλοφορία του OpenSSH 9.0, μιας ανοιχτής υλοποίησης πελάτη και διακομιστή για εργασία με χρήση των πρωτοκόλλων SSH 2.0 και SFTP. Στη νέα έκδοση, το βοηθητικό πρόγραμμα scp έχει αλλάξει από προεπιλογή για χρήση SFTP αντί για το ξεπερασμένο πρωτόκολλο SCP/RCP.
Το SFTP χρησιμοποιεί πιο προβλέψιμες μεθόδους χειρισμού ονομάτων και δεν χρησιμοποιεί επεξεργασία κελύφους μοτίβων σφαιρών στα ονόματα αρχείων στην πλευρά του άλλου κεντρικού υπολογιστή, γεγονός που δημιουργεί προβλήματα ασφαλείας. Ειδικότερα, όταν χρησιμοποιεί SCP και RCP, ο διακομιστής αποφασίζει ποια αρχεία και καταλόγους θα στείλει στον πελάτη και ο πελάτης ελέγχει μόνο την ορθότητα των ονομάτων αντικειμένων που επιστρέφονται, κάτι που, ελλείψει κατάλληλων ελέγχων από την πλευρά του πελάτη, επιτρέπει την διακομιστή για τη μεταφορά άλλων ονομάτων αρχείων που διαφέρουν από αυτά που ζητήθηκαν.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[προστασία μέσω email]" για να επεκτείνετε τις διαδρομές ~/ και ~user/.
Κατά τη χρήση του SFTP, οι χρήστες ενδέχεται επίσης να αντιμετωπίσουν ασυμβατότητες που προκαλούνται από την ανάγκη διπλής διαφυγής χαρακτήρων επέκτασης ειδικής διαδρομής σε αιτήματα SCP και RCP για να αποτραπεί η ερμηνεία τους από την απομακρυσμένη πλευρά. Στο SFTP, δεν απαιτείται τέτοια διαφυγή και τα επιπλέον εισαγωγικά μπορεί να οδηγήσουν σε σφάλμα μεταφοράς δεδομένων. Ταυτόχρονα, οι προγραμματιστές του OpenSSH αρνήθηκαν να προσθέσουν μια επέκταση για την αναπαραγωγή της συμπεριφοράς του scp σε αυτήν την περίπτωση, επομένως η διπλή διαφυγή θεωρείται ένα ελάττωμα που δεν έχει νόημα να επαναληφθεί.
Άλλες αλλαγές στη νέα έκδοση:
- Το Ssh και το sshd έχουν έναν υβριδικό αλγόριθμο ανταλλαγής κλειδιών ενεργοποιημένο από προεπιλογή "[προστασία μέσω email]"(ECDH/x25519 + NTRU Prime), ανθεκτικό στο picking σε κβαντικούς υπολογιστές και σε συνδυασμό με το ECDH/x25519 για να αποκλείσει πιθανά προβλήματα στο NTRU Prime που μπορεί να προκύψουν στο μέλλον. Στη λίστα των KexAlgorithms, που καθορίζει τη σειρά με την οποία επιλέγονται οι μέθοδοι ανταλλαγής κλειδιών, ο αναφερόμενος αλγόριθμος τοποθετείται πλέον πρώτος και έχει μεγαλύτερη προτεραιότητα από τους αλγόριθμους ECDH και DH.
Οι κβαντικοί υπολογιστές δεν έχουν φτάσει ακόμη στο επίπεδο του σπάσιμο των παραδοσιακών κλειδιών, αλλά η χρήση υβριδικής ασφάλειας θα προστατεύει τους χρήστες από επιθέσεις που περιλαμβάνουν την αποθήκευση υποκλοπών συνεδριών SSH με την ελπίδα ότι θα μπορούν να αποκρυπτογραφηθούν στο μέλλον όταν γίνουν διαθέσιμοι οι απαραίτητοι κβαντικοί υπολογιστές.
- Η επέκταση "copy-data" προστέθηκε στον sftp-server, ο οποίος σας επιτρέπει να αντιγράψετε δεδομένα από την πλευρά του διακομιστή, χωρίς να τα μεταφέρετε στον πελάτη, εάν τα αρχεία προέλευσης και προορισμού βρίσκονται στον ίδιο διακομιστή.
- Η εντολή "cp" προστέθηκε στο βοηθητικό πρόγραμμα sftp για να ξεκινήσει ο πελάτης να αντιγράψει αρχεία από την πλευρά του διακομιστή.
Πηγή: opennet.ru