انتشار OpenSSH 8.8 منتشر شده است، یک پیاده سازی باز از یک کلاینت و سرور برای کار با استفاده از پروتکل های SSH 2.0 و SFTP. این نسخه به دلیل غیرفعال کردن قابلیت استفاده از امضای دیجیتال بر اساس کلیدهای RSA با هش SHA-1 ("ssh-rsa") بهطور پیشفرض قابل توجه است.
توقف پشتیبانی از امضاهای "ssh-rsa" به دلیل افزایش کارایی حملات برخورد با یک پیشوند مشخص است (هزینه انتخاب یک برخورد تقریباً 50 هزار دلار برآورد شده است). برای آزمایش استفاده از ssh-rsa در سیستم های خود، می توانید از طریق ssh با گزینه "-oHostKeyAlgorithms=-ssh-rsa" اتصال برقرار کنید. پشتیبانی از امضاهای RSA با هش SHA-256 و SHA-512 (rsa-sha2-256/512)، که از OpenSSH 7.2 پشتیبانی میشوند، بدون تغییر باقی میماند.
در بیشتر موارد، قطع پشتیبانی از "ssh-rsa" نیازی به هیچ گونه اقدام دستی از سوی کاربران نخواهد داشت، زیرا OpenSSH قبلاً تنظیمات UpdateHostKeys را به طور پیش فرض فعال کرده بود که به طور خودکار مشتریان را به الگوریتم های قابل اطمینان تر منتقل می کند. برای مهاجرت، پسوند پروتکل "[ایمیل محافظت شده]"، به سرور اجازه می دهد، پس از احراز هویت، مشتری را در مورد تمام کلیدهای میزبان موجود مطلع کند. در صورت اتصال به هاست هایی با نسخه های بسیار قدیمی OpenSSH در سمت کلاینت، می توانید به طور انتخابی توانایی استفاده از امضاهای "ssh-rsa" را با افزودن به ~/.ssh/config برگردانید: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
نسخه جدید همچنین یک مشکل امنیتی ناشی از sshd را حل میکند، که با OpenSSH 6.2 شروع میشود، و هنگام اجرای دستورات مشخصشده در دستورالعملهای AuthorizedKeysCommand و AuthorizedPrincipalsCommand، به درستی مقداردهی اولیه گروه کاربر را انجام نمیدهد. این دستورالعملها قرار بود اجازه دهند دستورات تحت یک کاربر متفاوت اجرا شوند، اما در واقع فهرست گروههایی را که هنگام اجرای sshd استفاده میشد، به ارث بردند. به طور بالقوه، این رفتار، در حضور برخی تنظیمات سیستم، به کنترل کننده راه اندازی شده اجازه می دهد تا امتیازات بیشتری در سیستم به دست آورد.
یادداشت انتشار جدید همچنین شامل هشداری است مبنی بر اینکه scp بهجای پروتکل SCP/RCP قدیمی، SFTP را پیشفرض میکند. SFTP از روش های مدیریت نام قابل پیش بینی تری استفاده می کند و از پردازش پوسته الگوهای glob در نام فایل ها در سمت میزبان دیگر استفاده نمی کند، که مشکلات امنیتی ایجاد می کند. به طور خاص، هنگام استفاده از SCP و RCP، سرور تصمیم میگیرد که کدام فایلها و دایرکتوریها را برای مشتری ارسال کند و کلاینت فقط صحت نام اشیاء برگشتی را بررسی میکند، که در صورت عدم وجود بررسیهای مناسب در سمت کلاینت، این امکان را به کاربر میدهد. سرور برای انتقال نام فایل های دیگر که با نام های درخواستی متفاوت است. پروتکل SFTP این مشکلات را ندارد، اما از گسترش مسیرهای خاص مانند "~/" پشتیبانی نمی کند. برای رفع این تفاوت، نسخه قبلی OpenSSH یک پسوند پروتکل SFTP جدید به مسیرهای ~/ و ~user/ در اجرای سرور SFTP معرفی کرد.
منبع: opennet.ru