Predstavljeno je izdanje OpenSSH 9.0, otvorene implementacije klijenta i poslužitelja za rad pomoću SSH 2.0 i SFTP protokola. U novoj verziji, uslužni program scp je prema zadanim postavkama prebačen da koristi SFTP umjesto zastarjelog SCP/RCP protokola.
SFTP koristi predvidljivije metode rukovanja imenima i ne koristi shell obradu glob uzoraka u imenima datoteka na strani drugog hosta, što stvara sigurnosne probleme. Konkretno, kada koristite SCP i RCP, poslužitelj odlučuje koje će datoteke i direktorije poslati klijentu, a klijent samo provjerava ispravnost vraćenih imena objekata, što, u nedostatku odgovarajućih provjera na strani klijenta, omogućuje poslužitelj za prijenos drugih naziva datoteka koji se razlikuju od traženih.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[e-pošta zaštićena]" za proširenje staza ~/ i ~korisnik/.
Pri korištenju SFTP-a korisnici također mogu naići na nekompatibilnosti uzrokovane potrebom dvostrukog izbjegavanja posebnih znakova za proširenje putanje u SCP i RCP zahtjevima kako bi se spriječilo njihovo tumačenje od strane udaljene strane. U SFTP-u takvo izbjegavanje nije potrebno i dodatni navodnici mogu dovesti do pogreške u prijenosu podataka. U isto vrijeme, programeri OpenSSH-a odbili su dodati ekstenziju za repliciranje ponašanja scp-a u ovom slučaju, pa se dvostruko izbjegavanje smatra greškom koju nema smisla ponavljati.
Ostale promjene u novom izdanju:
- Ssh i sshd imaju algoritam hibridne razmjene ključeva omogućen prema zadanim postavkama "[e-pošta zaštićena]"(ECDH/x25519 + NTRU Prime), otporan na odabiranje kvantnih računala i u kombinaciji s ECDH/x25519 za blokiranje mogućih problema u NTRU Prime koji se mogu pojaviti u budućnosti. Na popisu KexAlgorithms, koji određuje redoslijed odabira metoda razmjene ključeva, spomenuti algoritam je sada na prvom mjestu i ima veći prioritet od ECDH i DH algoritama.
Kvantna računala još nisu dosegla razinu razbijanja tradicionalnih ključeva, no korištenje hibridne sigurnosti zaštitit će korisnike od napada koji uključuju pohranu presretnutih SSH sesija u nadi da će se moći dešifrirati u budućnosti kada potrebna kvantna računala postanu dostupna.
- Ekstenzija "copy-data" dodana je sftp-poslužitelju, što vam omogućuje kopiranje podataka na strani poslužitelja, bez prijenosa do klijenta, ako su izvorne i ciljne datoteke na istom poslužitelju.
- Naredba "cp" dodana je sftp uslužnom programu za pokretanje klijenta da kopira datoteke na strani poslužitelja.
Izvor: opennet.ru