OpenSSH 8.8 bertsioa argitaratu da, SSH 2.0 eta SFTP protokoloak erabiliz lan egiteko bezero eta zerbitzari baten inplementazio irekia. Oharra nabarmena da modu lehenetsian desgaitu duelako RSA gakoetan oinarritutako sinadura digitalak SHA-1 hash batekin ("ssh-rsa") erabiltzeko gaitasuna.
"ssh-rsa" sinaduren laguntzari uztea aurrizki jakin batekin talka-erasoen eraginkortasuna areagotu delako (talka hautatzeko kostua 50 mila $ gutxi gorabehera estimatzen da). Zure sistemetan ssh-rsa-ren erabilera probatzeko, ssh bidez konektatzen saiatu zaitezke "-oHostKeyAlgorithms=-ssh-rsa" aukerarekin. OpenSSH 256az geroztik onartzen diren SHA-512 eta SHA-2 hashekin (rsa-sha256-512/7.2) RSA sinadurei euskarria ez da aldatu.
Gehienetan, "ssh-rsa"-ren laguntza eteteak ez du erabiltzaileen eskuzko ekintzarik beharko, lehen OpenSSH-k UpdateHostKeys ezarpena lehenespenez gaituta baitzuen, bezeroak algoritmo fidagarriagoetara automatikoki migratzen dituena. Migraziorako, protokoloaren luzapena "[posta elektroniko bidez babestua]", zerbitzariari, autentifikatu ondoren, bezeroari eskuragarri dauden ostalari gako guztiei buruz informatzeko aukera emanez. Bezeroaren aldetik OpenSSH-ren bertsio oso zaharrak dituzten ostalarietara konektatuz gero, "ssh-rsa" sinadurak erabiltzeko gaitasuna hautakorra itzul dezakezu ~/.ssh/config helbidera gehituz: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Bertsio berriak sshd-ek eragindako segurtasun-arazo bat ere konpontzen du, OpenSSH 6.2-rekin hasita, erabiltzaile-taldea behar bezala hasieratzen ez duena AuthorizedKeysCommand eta AuthorizedPrincipalsCommand zuzentarauetan zehaztutako komandoak exekutatzen direnean. Zuzentarau hauek komandoak beste erabiltzaile baten azpian exekutatzeko baimena eman behar zuten, baina, hain zuzen ere, sshd exekutatzen zenean erabilitako taldeen zerrenda heredatu zuten. Potentzialki, portaera honek, sistemaren ezarpen jakin batzuen aurrean, abiarazitako kudeatzaileak sisteman pribilegio gehigarriak lortzeko aukera eman zion.
Argitalpen-ohar berriak scp-k SCP/RCP protokoloaren ordez SFTP-ra lehenetsiko duela abisua ere jasotzen du. SFTP-k izenak kudeatzeko metodo aurreikusgarriagoak erabiltzen ditu eta ez du erabiltzen beste ostalariaren fitxategi-izenetan glob ereduen shell-en prozesamendua, eta horrek segurtasun arazoak sortzen ditu. Bereziki, SCP eta RCP erabiltzean, zerbitzariak erabakitzen du zein fitxategi eta direktorio bidali bezeroari, eta bezeroak bakarrik egiaztatzen du itzultzen diren objektuen izenen zuzentasuna, eta horrek, bezeroaren aldetik egiaztapen egokirik ezean, aukera ematen du. zerbitzariak eskatutakoetatik desberdinak diren beste fitxategi-izen batzuk transferitzeko. SFTP protokoloak ez ditu arazo hauek, baina ez du onartzen "~/" bezalako bide berezien hedapena. Desberdintasun horri aurre egiteko, OpenSSH-ren aurreko bertsioak SFTP protokoloaren luzapen berria sartu zuen ~/ eta ~user/ bideetan SFTP zerbitzariaren inplementazioan.
Iturria: opennet.ru