Presentouse o lanzamento de OpenSSH 9.0, unha implementación aberta dun cliente e servidor para traballar cos protocolos SSH 2.0 e SFTP. Na nova versión, a utilidade scp cambiouse por defecto para usar SFTP en lugar do protocolo SCP/RCP desactualizado.
SFTP usa métodos de manexo de nomes máis previsibles e non usa o procesamento de shell de patróns glob en nomes de ficheiros do outro host, o que crea problemas de seguridade. En particular, ao usar SCP e RCP, o servidor decide que ficheiros e directorios enviar ao cliente, e o cliente só verifica a corrección dos nomes de obxectos devoltos, o que, a falta de verificacións adecuadas no lado do cliente, permite servidor para transferir outros nomes de ficheiro que difiran dos solicitados.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[protexido por correo electrónico]" para expandir as rutas ~/ e ~user/.
Ao usar SFTP, os usuarios tamén poden atopar incompatibilidades causadas pola necesidade de escapar dobremente os caracteres de expansión de camiños especiais nas solicitudes SCP e RCP para evitar a súa interpretación polo lado remoto. En SFTP, tal escape non é necesario e as comiñas adicionais poden provocar un erro de transferencia de datos. Ao mesmo tempo, os desenvolvedores de OpenSSH negáronse a engadir unha extensión para replicar o comportamento de scp neste caso, polo que o dobre escape considérase un fallo que non ten sentido repetir.
Outros cambios na nova versión:
- Ssh e sshd teñen un algoritmo de intercambio de claves híbrido activado por defecto "[protexido por correo electrónico]"(ECDH/x25519 + NTRU Prime), resistente ao picking en ordenadores cuánticos e combinado con ECDH/x25519 para bloquear posibles problemas en NTRU Prime que poidan xurdir no futuro. Na lista de KexAlgorithms, que determina a orde na que se seleccionan os métodos de intercambio de claves, o mencionado algoritmo colócase agora en primeiro lugar e ten unha prioridade superior aos algoritmos ECDH e DH.
Os ordenadores cuánticos aínda non alcanzaron o nivel de descifrado de claves tradicionais, pero o uso da seguridade híbrida protexerá aos usuarios dos ataques relacionados co almacenamento de sesións SSH interceptadas coa esperanza de que poidan ser descifrados no futuro, cando estean dispoñibles os ordenadores cuánticos necesarios.
- A extensión "copy-data" engadiuse a sftp-server, que lle permite copiar os datos no lado do servidor, sen pasalos ao cliente, se os ficheiros de orixe e destino están no mesmo servidor.
- O comando "cp" engadiuse á utilidade sftp para iniciar o cliente a copiar ficheiros no lado do servidor.
Fonte: opennet.ru