Nei fiif moannen fan ûntwikkeling frijlitte , in iepen client- en server-ymplemintaasje foar wurkjen fia de SSH 2.0- en SFTP-protokollen.
Grutte feroaringen:
- Eksperimintele stipe foar in kaai útwikseling metoade dy't resistint is foar brute-force oanfallen op in kwantum kompjûter is tafoege oan ssh en sshd. Quantum-kompjûters binne radikaal rapper by it oplossen fan it probleem fan it ûntbinen fan in natuerlik nûmer yn prime faktoaren, dy't ûnderlizzende moderne asymmetryske fersiferingsalgoritmen en kinne net effektyf oplost wurde op klassike processors. De foarstelde metoade is basearre op it algoritme (funksje ntrup4591761), ûntwikkele foar post-quantum kryptosystemen, en de elliptyske kromme kaai útwikseling metoade X25519;
- Yn sshd stypje de ListenAddress en PermitOpen-rjochtlinen net langer de legacy "host/port"-syntaksis, dy't yn 2001 ymplementearre waard as alternatyf foar "host:port" om it wurkjen mei IPv6 te ferienfâldigjen. Yn moderne omstannichheden is de syntaksis "[::6]:1" fêststeld foar IPv22, en "host / haven" wurdt faak betize mei it oanjaan fan it subnet (CIDR);
- ssh, ssh-agent en ssh-add stypje no kaaien yn PKCS # 11 tokens;
- Yn ssh-keygen is de standert RSA-kaaigrutte ferhege nei 3072 bits, yn oerienstimming mei nije NIST-oanbefellings;
- ssh lit it gebrûk fan de "PKCS11Provider=gjin" ynstelling ta om de PKCS11Provider-rjochtline dy't spesifisearre is yn ssh_config;
- sshd jout in log werjefte fan situaasjes as de ferbining wurdt beëinige by it besykjen om út te fieren kommando's blokkearre troch de "ForceCommand = yntern-sftp" beheining yn sshd_config;
- Yn ssh, by it werjaan fan in fersyk om de akseptaasje fan in nije hostkaai te befêstigjen, ynstee fan it "ja" antwurd, wurdt de juste fingerprint fan 'e kaai no akseptearre (yn antwurd op de útnoeging om de ferbining te befêstigjen, kin de brûker de ferbining kopiearje apart ûntfongen referinsjehash fia it klamboerd, om it net mei de hân te fergelykjen);
- ssh-keygen jout automatyske ferheging fan it sertifikaat folchoarder nûmer by it meitsjen fan digitale hantekeningen foar meardere sertifikaten op de kommandorigel;
- In nije opsje "-J" is tafoege oan scp en sftp, lykweardich oan de ProxyJump-ynstelling;
- Yn ssh-agent, ssh-pkcs11-helper en ssh-add is de ferwurking fan 'e kommandorigelopsje "-v" tafoege om de ynformaasjeynhâld fan 'e útfier te fergrutsjen (as oantsjutte wurdt dizze opsje trochjûn oan bernprosessen, foar bygelyks, as ssh-pkcs11-helper wurdt neamd fan ssh-agent);
- De opsje "-T" is tafoege oan ssh-add om de geskiktheid fan toetsen yn ssh-agent te testen foar it meitsjen fan digitale hantekening en ferifikaasjeoperaasjes;
- sftp-tsjinner ymplementearret stipe foar de "lsetstat at openssh.com" protokol útwreiding, dy't foeget stipe foar de SSH2_FXP_SETSTAT operaasje foar SFTP, mar sûnder folgjende symboalyske keppelings;
- Tafoege "-h" opsje oan sftp om chown/chgrp/chmod kommando's út te fieren mei fersiken dy't gjin symboalyske keppelings brûke;
- sshd jout ynstelling fan de $SSH_CONNECTION omjouwingsfariabele foar PAM;
- Foar sshd is in "Match finale" oerienkommende modus tafoege oan ssh_config, dy't fergelykber is mei "Match canonical", mar hoecht gjin hostnammenormalisaasje te aktivearjen;
- Stipe tafoege foar it foarheaksel '@' oan sftp om oersetting fan 'e útfier fan kommando's útfierd yn batchmodus út te skeakeljen;
- As jo de ynhâld fan in sertifikaat werjaan mei it kommando
"ssh-keygen -Lf /path/certificate" toant no it algoritme dat wurdt brûkt troch de CA om it sertifikaat te falidearjen; - Ferbettere stipe foar de Cygwin-omjouwing, bygelyks it leverjen fan gefal-ûngefoelige fergeliking fan groep- en brûkersnammen. It sshd-proses yn 'e Cygwin-poarte is feroare yn cygsshd om ynterferinsje te foarkommen mei de troch Microsoft levere OpenSSH-poarte;
- Tafoege de mooglikheid om te bouwen mei de eksperimintele OpenSSL 3.x branch;
- Eliminearre (CVE-2019-6111) yn 'e ymplemintaasje fan it scp-hulpprogramma, wêrtroch willekeurige bestannen yn' e doelmap kinne wurde oerskreaun oan 'e kliïntside by tagong ta in server kontrolearre troch in oanfaller. It probleem is dat by it brûken fan scp, de tsjinner beslút hokker triemmen en mappen te stjoeren nei de kliïnt, en de kliïnt kontrolearret allinnich de korrektheid fan de weromjûn objektnammen. Kontrolearje op kliïntside is beheind ta allinich blokkearjen fan reizen bûten de hjoeddeistige map ("../"), mar hâldt gjin rekken mei de oerdracht fan bestannen mei nammen dy't oars binne as de oarspronklik oanfrege. Yn it gefal fan rekursyf kopiearjen (-r) kinne jo neist bestânsnammen ek de nammen fan submappen op in fergelykbere wize manipulearje. Bygelyks, as de brûker bestannen kopiearret nei de thúsmap, kin de tsjinner kontrolearre troch de oanfaller bestannen produsearje mei de nammen .bash_aliases of .ssh/authorized_keys ynstee fan de frege bestannen, en se wurde bewarre troch it scp-hulpprogramma yn 'e brûker thús triemtafel.
Yn 'e nije release is it scp-hulpprogramma bywurke om de korrespondinsje te kontrolearjen tusken de oanfrege triemnammen en dy stjoerd troch de tsjinner, dy't wurdt útfierd op' e kliïntside. Dit kin problemen feroarsaakje mei maskerferwurking, om't masker-útwreidingskarakteren oars kinne wurde ferwurke oan 'e server- en kliïntkanten. Yn gefal sokke ferskillen feroarsaakje dat de kliïnt stopet mei it akseptearjen fan bestannen yn scp, is de opsje "-T" tafoege om kontrôle fan kliïntside út te skeakeljen. Om it probleem folslein te korrigearjen, is in konseptuele werwurking fan it scp-protokol nedich, dat sels al ferâldere is, dus it is oan te rieden om ynstee mear moderne protokollen lykas sftp en rsync te brûken.
Boarne: opennet.ru