Avaldatud on OpenSSH 9.0 väljaanne, avatud kliendi ja serveri rakendus SSH 2.0 ja SFTP protokollide jaoks. Uues versioonis on utiliit scp vaikimisi ümber seadistatud SFTP kasutamiseks, mitte vananenud SCP/RCP protokolli.
SFTP kasutab ennustatavamaid meetodeid failide nimede töötlemiseks ning ei rakenda glob-mustreid failinimede töötlemisel shelli poolel teisel hostil, mis põhjustab turvaprobleeme. Erakordselt, kui kasutatakse SCP ja RCP, teeb server otsuse, millised failid ja kaustad klienti saata, samas kui klient kontrollib vaid tagastatud objektinimede korrektsust. Ilma nõuetekohaste kontrollideta kliendi poolel võib see tähendada, et serverile teised failinimed, mis erinevad nõutud nimedest, edastatakse.
SFTP protokollil ei ole neid probleeme, kuid see ei toeta spetsiaalsete teede, nagu „~/”, avamist. Selle erinevuse kõrvaldamiseks toetatakse alates OpenSSH 8.7 SFTP-serveri rakenduses protokolli laiendust „expand-path@openssh.com”, et avada teed ~/ ja ~user/.
SFTP kasutamisel võivad kasutajad kokku puutuda ühilduvuse probleemidega, mis on tingitud vajadusest topeltärgestada spetsiaaltemandeid teede avamisinstrumentides SCP ja RCP päringutes, et vältida nende tõlgendamist kaugemas osas. SFTP puhul ei ole selline ääristamine vajalik, ja liigne jutumärkide kasutamine võib viia andmete edastamise tõrkeeni. Samuti on OpenSSH arendajad loobunud laienduse lisamisest scp käitumise kordamiseks, kuna topeltääristamist peetakse puuduseks, mille kordamine pole mõtet.
Teised muudatused uues väljaandes:
- ssh ja sshd puhul on vaikimisi sisse lülitatud hübriidne võtmevahetusalgoritm „sntrup761x25519-sha512@openssh.com” (ECDH/x25519 + NTRU Prime), mis on kvantkompuutritele vastupidav ja kombineeritud ECDH/x25519-ga, et blokkeerida võimalikke probleeme NTRU Prime'is, mis võivad tulevikus ilmneda. KexAlgorithms nimekirjas, mis määrab võtmevahetusmeetodite valimise järjekorra, on nüüd mainitud algoritm esikohal ja see on prioriteetsem kui ECDH ja DH algoritmid.
Kvantkoonused ei ole veel jõudnud tasemele, mis võimaldaks traditsioonilisi võtmeid purustada, kuid hübriidkaitse rakendamine aitab kasutajaid kaitsta rünnakute eest, mis on seotud salvestatud SSH-seanssidega, lootes, et neid on võimalik tulevikus dekrüpteerida, kui vajalikud kvantkoonused on olemas.
- sftp-serverisse on lisatud laienemine „copy-data”, mis võimaldab andmeid serveripoolt kopeerida ilma, et klienti vahepeal saadetaks, kui algne ja sihtfail asuvad samas. serveril.
- sftp utiliiti on lisatud käsk „cp”, et võimaldada kliendil faile serveripoolt kopeerida.
Allikas: opennet.ru
