ProHoster > Блог > interretaj novaĵoj > Eldono de OpenSSH 8.0

Eldono de OpenSSH 8.0

Post kvin monatoj da evoluo prezentita liberigi OpenSSH 8.0, malferma kliento kaj servila efektivigo por labori per la SSH 2.0 kaj SFTP protokoloj.

Ĉefaj ŝanĝoj:

  • Eksperimenta subteno por ŝlosila interŝanĝmetodo kiu estas rezistema al krudfortaj atakoj sur kvantuma komputilo estis aldonita al ssh kaj sshd. Kvantumkomputiloj estas radikale pli rapidaj ĉe solvado de la problemo de malkomponado de natura nombro en primajn faktorojn, kiu subestas modernajn malsimetriajn ĉifradalgoritmojn kaj ne povas esti efike solvita sur klasikaj procesoroj. La proponita metodo baziĝas sur la algoritmo NTRU Prime (funkcio ntrup4591761), evoluigita por post-kvantumaj kriptosistemoj, kaj la elipsa kurba ŝlosila interŝanĝo metodo X25519;
  • En sshd, la ListenAddress kaj PermitOpen direktivoj ne plu subtenas la heredaĵan "gastiganto/haveno-" sintakson, kiu estis efektivigita en 2001 kiel alternativo al "gastiganto:porto" por simpligi laboradon kun IPv6. En modernaj kondiĉoj, la sintakso "[::6]:1" estis establita por IPv22, kaj "gastiganto/haveno" ofte estas konfuzita kun indikado de la subreto (CIDR);
  • ssh, ssh-agent kaj ssh-add nun subtenas ŝlosilojn ECDSA en PKCS#11-ĵetonoj;
  • En ssh-keygen, la defaŭlta RSA-ŝlosilgrandeco estis pliigita al 3072 bitoj, laŭ novaj NIST-rekomendoj;
  • ssh permesas la uzon de la agordo "PKCS11Provider=neniu" por superregi la direktivon PKCS11Provider specifitan en ssh_config;
  • sshd provizas protokolon de situacioj kiam la konekto estas ĉesigita kiam oni provas efektivigi komandojn blokitajn de la limigo "ForceCommand=internal-sftp" en sshd_config;
  • En ssh, kiam oni montras peton por konfirmi la akcepton de nova gastiga ŝlosilo, anstataŭ la respondo "jes", la ĝusta fingrospuro de la ŝlosilo nun estas akceptita (responde al la invito por konfirmi la konekton, la uzanto povas kopii la aparte ricevita referenca haŝo per la tondujo, por ne permane kompari ĝin);
  • ssh-keygen provizas aŭtomatan pliigon de la atestil-sekvenca numero dum kreado de ciferecaj subskriboj por multoblaj atestiloj sur la komandlinio;
  • Nova opcio "-J" estis aldonita al scp kaj sftp, ekvivalenta al la agordo ProxyJump;
  • En ssh-agent, ssh-pkcs11-helper kaj ssh-add, prilaborado de la "-v" komandlinia opcio estis aldonita por pliigi la informenhavon de la eligo (kiam specifite, ĉi tiu opcio estas transdonita al infanaj procezoj, por ekzemplo, kiam ssh-pkcs11-helper estas vokita de ssh-agent );
  • La opcio "-T" estis aldonita al ssh-add por testi la taŭgecon de ŝlosiloj en ssh-agent por plenumi operaciojn pri kreado kaj kontrolado de ciferecaj subskriboj;
  • sftp-servilo efektivigas subtenon por la "lsetstat at openssh.com" protokola etendo, kiu aldonas subtenon por la operacio SSH2_FXP_SETSTAT por SFTP, sed sen sekvi simbolajn ligilojn;
  • Aldonita "-h" opcio al sftp por ruli chown/chgrp/chmod komandojn kun petoj kiuj ne uzas simbolajn ligilojn;
  • sshd provizas agordon de la mediovariablo $SSH_CONNECTION por PAM;
  • Por sshd, "Match final" kongrua reĝimo estis aldonita al ssh_config, kiu similas al "Match canonical", sed ne postulas gastnomnormaligon esti ebligita;
  • Aldonita subteno por la '@' prefikso al sftp por malŝalti tradukon de la eligo de komandoj efektivigitaj en batreĝimo;
  • Kiam vi montras la enhavon de atestilo uzante la komandon
    "ssh-keygen -Lf /path/certificate" nun montras la algoritmon uzatan de la CA por validigi la atestilon;

  • Plibonigita subteno por la Cygwin-medio, ekzemple provizante uskle-nesensivan komparon de grupoj kaj uzantnomoj. La sshd-procezo en la Cygwin-haveno estis ŝanĝita al cygsshd por eviti interferon kun la Mikrosofto-provizita OpenSSH-haveno;
  • Aldonita la kapablo konstrui kun la eksperimenta OpenSSL 3.x branĉo;
  • Forigita vundebleco (CVE-2019-6111) en la efektivigo de la scp-ilaĵo, kiu permesas al arbitraj dosieroj en la cela dosierujo esti anstataŭigataj ĉe la klientflanko kiam oni aliras servilon kontrolitan de atakanto. La problemo estas, ke kiam oni uzas scp, la servilo decidas kiujn dosierojn kaj dosierujojn sendi al la kliento, kaj la kliento nur kontrolas la ĝustecon de la resenditaj objektonomoj. Kliento-flanka kontrolo estas limigita nur al blokado de vojaĝoj preter la nuna dosierujo ("../"), sed ne konsideras la translokigon de dosieroj kun nomoj malsamaj ol tiuj origine petitaj. En la kazo de rekursiva kopiado (-r), krom dosiernomoj, vi ankaŭ povas manipuli nomojn de subdosierujoj simile. Ekzemple, se la uzanto kopias dosierojn al la hejma dosierujo, la servilo kontrolita de la atakanto povas produkti dosierojn kun la nomoj .bash_aliases aŭ .ssh/authorized_keys anstataŭe de la petitaj dosieroj, kaj ili estos konservitaj de la scp-utilo en la uzanto. hejma dosierujo.

    En la nova eldono, la scp-ilaĵo estis ĝisdatigita por kontroli la korespondadon inter la dosiernomoj petitaj kaj tiuj senditaj de la servilo, kiu estas farita ĉe la klienta flanko. Ĉi tio povas kaŭzi problemojn kun maska ​​prilaborado, ĉar maskaj vastiĝaj signoj povas esti prilaboritaj alimaniere ĉe la servilo kaj kliento flankoj. Se tiaj diferencoj igas la klienton ĉesi akcepti dosierojn en scp, la opcio "-T" estis aldonita por malŝalti kontrolon de la kliento. Por plene korekti la problemon, necesas koncipa reverkado de la scp-protokolo, kiu mem jam estas malaktuala, do rekomendas uzi pli modernajn protokolojn kiel sftp kaj rsync anstataŭe.

fonto: opennet.ru

Aldoni komenton