Izdanje OpenSSH 8.0

Nakon pet mjeseci razvoja predstavio puštanje OpenSSH 8.0, otvorena klijentska i poslužiteljska implementacija za rad preko SSH 2.0 i SFTP protokola.

Velike promjene:

• Eksperimentalna podrška za metodu razmjene ključeva koja je otporna na napade brutalnom silom na kvantno računalo dodana je u ssh i sshd. Kvantna računala radikalno su brža u rješavanju problema rastavljanja prirodnog broja na proste faktore, što je temelj modernih asimetričnih algoritama šifriranja i ne može se učinkovito riješiti na klasičnim procesorima. Predložena metoda temelji se na algoritmu NTRU Prime (funkcija ntrup4591761), razvijena za postkvantne kriptosustave, i metoda razmjene ključeva eliptične krivulje X25519;
• U sshd-u, ListenAddress i PermitOpen direktive više ne podržavaju staru sintaksu "host/port", koja je implementirana 2001. kao alternativa "host:port" za pojednostavljenje rada s IPv6. U modernim uvjetima sintaksa “[::6]:1” uspostavljena je za IPv22, a “host/port” se često brka s označavanjem podmreže (CIDR);
• ssh, ssh-agent i ssh-add sada podržavaju ključeve ECDSA u PKCS#11 tokenima;
• U ssh-keygenu, zadana veličina RSA ključa povećana je na 3072 bita, u skladu s novim NIST preporukama;
• ssh dopušta korištenje postavke "PKCS11Provider=none" za nadjačavanje direktive PKCS11Provider navedene u ssh_config;
• sshd pruža prikaz dnevnika situacija kada je veza prekinuta prilikom pokušaja izvršavanja naredbi blokiranih ograničenjem “ForceCommand=internal-sftp” u sshd_config;
• U ssh-u, kada se prikazuje zahtjev za potvrdu prihvaćanja novog ključa glavnog računala, umjesto odgovora "da", sada se prihvaća točan otisak ključa (kao odgovor na poziv za potvrdu veze, korisnik može kopirati zasebno primljen referentni hash putem međuspremnika, kako ga ne bi ručno uspoređivali);
• ssh-keygen omogućuje automatsko povećanje sekvencijskog broja certifikata prilikom stvaranja digitalnih potpisa za više certifikata u naredbenom retku;
• Nova opcija "-J" dodana je u scp i sftp, ekvivalentna postavci ProxyJump;
• U ssh-agent, ssh-pkcs11-helper i ssh-add dodana je obrada opcije naredbenog retka “-v” kako bi se povećao informativni sadržaj izlaza (kada je navedena, ova opcija se prosljeđuje podređenim procesima, za primjer, kada je ssh-pkcs11-helper pozvan iz ssh-agenta );
• Opcija “-T” dodana je u ssh-add za testiranje prikladnosti ključeva u ssh-agentu za izvođenje operacija stvaranja digitalnog potpisa i provjere;
• sftp-poslužitelj implementira podršku za ekstenziju protokola “lsetstat at openssh.com”, koja dodaje podršku za operaciju SSH2_FXP_SETSTAT za SFTP, ali bez praćenja simboličkih veza;
• Dodana opcija "-h" u sftp za pokretanje chown/chgrp/chmod naredbi sa zahtjevima koji ne koriste simboličke veze;
• sshd osigurava postavku varijable okoline $SSH_CONNECTION za PAM;
• Za sshd, način podudaranja “Match final” je dodan u ssh_config, koji je sličan “Match canonical”, ali ne zahtijeva da normalizacija imena hosta bude omogućena;
• Dodana je podrška za prefiks '@' u sftp kako bi se onemogućio prijevod izlaza naredbi izvedenih u skupnom načinu rada;
• Kada prikažete sadržaj certifikata pomoću naredbe
  "ssh-keygen -Lf /path/certificate" sada prikazuje algoritam koji koristi CA za provjeru valjanosti certifikata;

• Poboljšana podrška za okruženje Cygwin, na primjer pružanje usporedbe imena grupa i korisnika bez obzira na velika i mala slova. Sshd proces u Cygwin portu promijenjen je u cygsshd kako bi se izbjegle smetnje s OpenSSH portom koji isporučuje Microsoft;
• Dodana mogućnost izgradnje s eksperimentalnom granom OpenSSL 3.x;
• Eliminiran ranjivost (CVE-2019-6111) u implementaciji uslužnog programa scp, koji omogućuje brisanje proizvoljnih datoteka u ciljnom direktoriju na strani klijenta prilikom pristupa poslužitelju kojim upravlja napadač. Problem je u tome što prilikom korištenja scp-a poslužitelj odlučuje koje će datoteke i direktorije poslati klijentu, a klijent samo provjerava ispravnost vraćenih imena objekata. Provjera na strani klijenta ograničena je samo na blokiranje putovanja izvan trenutnog direktorija (“../”), ali ne uzima u obzir prijenos datoteka s nazivima koji se razlikuju od onih izvorno traženih. U slučaju rekurzivnog kopiranja (-r), osim naziva datoteka, na sličan način možete manipulirati i nazivima poddirektorija. Na primjer, ako korisnik kopira datoteke u početni direktorij, poslužitelj kojim upravlja napadač može proizvesti datoteke s nazivima .bash_aliases ili .ssh/authorized_keys umjesto traženih datoteka, a uslužni program scp spremit će ih u korisnički kućni imenik.

  U novom izdanju, uslužni program scp ažuriran je za provjeru podudarnosti između traženih naziva datoteka i onih koje šalje poslužitelj, što se izvodi na strani klijenta. To može uzrokovati probleme s obradom maske, budući da se znakovi proširenja maske mogu drugačije obrađivati ​​na strani poslužitelja i klijenta. U slučaju da takve razlike uzrokuju da klijent prestane prihvaćati datoteke u scp, dodana je opcija “-T” za onemogućavanje provjere na strani klijenta. Za potpuno ispravljanje problema potrebna je konceptualna prerada scp protokola, koji je i sam već zastario, pa se umjesto njega preporučuje korištenje modernijih protokola kao što su sftp i rsync.

Izvor: opennet.ru