Avaldatud on OpenSSH 8.8 väljalase, mis on kliendi ja serveri avatud rakendus SSH 2.0 ja SFTP protokollidega töötamiseks. Väljalase on tähelepanuväärne selle poolest, et vaikimisi keelatakse RSA-võtmetel põhinevate digitaalallkirjade kasutamine koos SHA-1 räsiga (“ssh-rsa”).
"Ssh-rsa" allkirjade toetamise lõpetamine on tingitud antud eesliitega kokkupõrkerünnakute tõhususe suurenemisest (kokkupõrke valimise maksumus on hinnanguliselt umbes 50 tuhat dollarit). Ssh-rsa kasutamise testimiseks oma süsteemides võite proovida luua ühenduse ssh-i kaudu valikuga „-oHostKeyAlgorithms=-ssh-rsa”. RSA allkirjade tugi SHA-256 ja SHA-512 räsidega (rsa-sha2-256/512), mida on toetatud alates versioonist OpenSSH 7.2, jääb muutumatuks.
Enamikul juhtudel ei nõua ssh-rsa toe katkestamine kasutajatelt käsitsi toiminguid, kuna OpenSSH-l oli varem vaikimisi lubatud UpdateHostKeys säte, mis migreerib kliendid automaatselt usaldusväärsematele algoritmidele. Migreerimiseks kasutatakse protokolli laiendust "[meiliga kaitstud]", võimaldades serveril pärast autentimist teavitada klienti kõigist saadaolevatest hostivõtmetest. Kui loote ühenduse väga vanade OpenSSH versioonidega hostidega kliendi poolel, saate valikuliselt tagastada ssh-rsa signatuuri kasutamise võimaluse, lisades failile ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Uus versioon lahendab ka sshd põhjustatud turbeprobleemi, alustades OpenSSH 6.2-st, mis ei initsialiseerinud õigesti kasutajagruppi, kui nad täidavad käske, mis on määratud käskudes AuthorizedKeysCommand ja AuthorizedPrincipalsCommand. Need direktiivid pidid lubama käske käitada erinevate kasutajate all, kuid tegelikult pärisid nad sshd käitamisel kasutatavate rühmade loendi. Võimalik, et selline käitumine teatud süsteemiseadete olemasolul võimaldas käivitatud töötlejal saada süsteemis täiendavaid õigusi.
Uus väljalaskemärkus sisaldab ka hoiatust, et scp kasutab pärandprotokolli SCP/RCP asemel vaikimisi SFTP-d. SFTP kasutab etteaimatavamaid nimekäsitlusmeetodeid ega kasuta teise hosti poolel olevate failinimede glob-mustrite shell-töötlust, mis tekitab turvaprobleeme. Eelkõige otsustab SCP ja RCP kasutamisel server, millised failid ja kataloogid kliendile saata ning klient kontrollib ainult tagastatud objektide nimede õigsust, mis kliendipoolse korraliku kontrolli puudumisel võimaldab serverisse, et edastada teisi failinimesid, mis erinevad nõutud failinimedest. SFTP-protokollil neid probleeme pole, kuid see ei toeta spetsiaalsete teede, näiteks "~/" laiendamist. Selle erinevuse lahendamiseks tutvustas OpenSSH eelmine väljalase SFTP-serveri juurutamisel ~/ ja ~user/ teedele uut SFTP-protokolli laiendust.
Allikas: opennet.ru