La version d'OpenSSH 9.0, une implémentation ouverte d'un client et d'un serveur pour travailler avec les protocoles SSH 2.0 et SFTP, a été présentée. Dans la nouvelle version, l'utilitaire scp a été modifié par défaut pour utiliser SFTP au lieu du protocole obsolète SCP/RCP.
SFTP utilise des méthodes de gestion des noms plus prévisibles et n'utilise pas le traitement shell des modèles globaux dans les noms de fichiers du côté de l'autre hôte, ce qui crée des problèmes de sécurité. En particulier, lors de l'utilisation de SCP et RCP, le serveur décide quels fichiers et répertoires envoyer au client, et le client vérifie uniquement l'exactitude des noms d'objet renvoyés, ce qui, en l'absence de vérifications appropriées du côté client, permet le serveur pour transférer d'autres noms de fichiers différents de ceux demandés.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[email protected]" pour développer les chemins ~/ et ~user/.
Lors de l'utilisation de SFTP, les utilisateurs peuvent également rencontrer des incompatibilités causées par la nécessité de double échappement des caractères d'extension de chemin spéciaux dans les requêtes SCP et RCP pour empêcher leur interprétation par le côté distant. Dans SFTP, un tel échappement n'est pas requis et des guillemets supplémentaires peuvent entraîner une erreur de transfert de données. Dans le même temps, les développeurs d'OpenSSH ont refusé d'ajouter une extension pour reproduire le comportement de scp dans ce cas, donc le double échappement est considéré comme un défaut qu'il n'est pas logique de répéter.
Autres changements dans la nouvelle version :
- Ssh et sshd ont un algorithme d'échange de clés hybride activé par défaut "[email protected]"(ECDH/x25519 + NTRU Prime), résistant au piratage sur les ordinateurs quantiques et combiné avec ECDH/x25519 pour bloquer d'éventuels problèmes dans NTRU Prime qui pourraient survenir à l'avenir. Dans la liste des KexAlgorithms, qui détermine l'ordre dans lequel les méthodes d'échange de clés sont sélectionnées, l'algorithme mentionné est désormais placé en premier et a une priorité plus élevée que les algorithmes ECDH et DH.
Les ordinateurs quantiques n'ont pas encore atteint le niveau de piratage des clés traditionnelles, mais l'utilisation d'une sécurité hybride protégera les utilisateurs contre les attaques impliquant le stockage de sessions SSH interceptées dans l'espoir qu'elles pourront être déchiffrées à l'avenir lorsque les ordinateurs quantiques nécessaires seront disponibles.
- L'extension « copy-data » a été ajoutée à sftp-server, qui permet de copier des données côté serveur, sans les transiter vers le client, si les fichiers source et cible sont sur le même serveur.
- La commande "cp" a été ajoutée à l'utilitaire sftp pour inciter le client à copier des fichiers côté serveur.
Source: opennet.ru