Esitatud on OpenSSH 9.0 väljalase, mis on kliendi ja serveri avatud rakendus SSH 2.0 ja SFTP protokollidega töötamiseks. Uues versioonis on scp-utiliit vaikimisi lülitatud kasutama aegunud SCP/RCP-protokolli asemel SFTP-d.
SFTP kasutab etteaimatavamaid nimekäsitlusmeetodeid ega kasuta teise hosti poolel olevate failinimede glob-mustrite shell-töötlust, mis tekitab turvaprobleeme. Eelkõige SCP ja RCP kasutamisel otsustab server, millised failid ja kataloogid kliendile saata ning klient kontrollib ainult tagastatud objektide nimede õigsust, mis kliendipoolse korraliku kontrolli puudumisel võimaldab serverisse, et edastada teisi failinimesid, mis erinevad nõutud failinimedest.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[meiliga kaitstud]", et laiendada ~/ ja ~kasutaja/ teid.
SFTP kasutamisel võivad kasutajad kokku puutuda ka ühildumatusega, mis on põhjustatud vajadusest topeltpaondada SCP- ja RCP-päringutes spetsiaalseid teelaiendusmärke, et takistada nende tõlgendamist kaugemal. SFTP-s pole selline põgenemine vajalik ja lisajutumärgid võivad põhjustada andmeedastusvea. Samal ajal keeldusid OpenSSH arendajad lisamast laiendust, et kopeerida antud juhul scp käitumist, nii et topeltpõgenemist peetakse veaks, mida pole mõtet korrata.
Muud muudatused uues versioonis:
- Ssh-l ja sshd-l on vaikimisi lubatud hübriidvõtmevahetusalgoritm "[meiliga kaitstud]"(ECDH/x25519 + NTRU Prime), mis on vastupidav kvantarvutites valimisele ja kombineerituna ECDH/x25519-ga, et blokeerida võimalikud probleemid NTRU Prime'is, mis võivad tulevikus tekkida. KexAlgoritmide loendis, mis määrab võtmevahetusmeetodite valimise järjekorra, on nimetatud algoritm nüüd esikohal ja sellel on kõrgem prioriteet kui ECDH ja DH algoritmidel.
Kvantarvutid pole veel jõudnud traditsiooniliste võtmete murdmise tasemele, kuid hübriidturvalisuse kasutamine kaitseb kasutajaid rünnakute eest, mis hõlmavad pealtkuulatud SSH-seansside salvestamist, lootuses, et neid saab tulevikus dekrüpteerida, kui vajalikud kvantarvutid muutuvad kättesaadavaks.
- Sftp-serverisse on lisatud laiendus “copy-data”, mis võimaldab kopeerida andmeid serveri poolel ilma neid kliendile edastamata, kui lähte- ja sihtfailid asuvad samas serveris.
- Käsk "cp" on lisatud sftp-utiliidile, et käivitada klient faile serveri poolel kopeerima.
Allikas: opennet.ru