Yo te pibliye liberasyon OpenSSH 8.8, yon aplikasyon ouvè nan yon kliyan ak sèvè pou travay lè l sèvi avèk SSH 2.0 ak pwotokòl SFTP. Liberasyon an se remakab pou enfimite pa default kapasite nan sèvi ak siyati dijital ki baze sou kle RSA ak yon hash SHA-1 ("ssh-rsa").
Sispansyon sipò pou "ssh-rsa" siyati yo se akòz ogmante efikasite nan atak kolizyon ak yon prefiks bay (se pri a chwazi yon kolizyon estime a apeprè $ 50 mil). Pou teste itilizasyon ssh-rsa sou sistèm ou yo, ou ka eseye konekte via ssh ak opsyon "-oHostKeyAlgorithms=-ssh-rsa". Sipò pou siyati RSA ak hash SHA-256 ak SHA-512 (rsa-sha2-256/512), ki te sipòte depi OpenSSH 7.2, rete san chanjman.
Nan pifò ka yo, sispann sipò pou "ssh-rsa" pa pral mande pou okenn aksyon manyèl nan men itilizatè yo, paske OpenSSH te deja te pèmèt UpdateHostKeys anviwònman an defo, ki otomatikman imigre kliyan nan algoritm ki pi serye. Pou migrasyon, ekstansyon pwotokòl la "[imèl pwoteje]", ki pèmèt sèvè a, apre otantifikasyon, enfòme kliyan an sou tout kle lame ki disponib. Nan ka konekte ak tout pouvwa a ak vèsyon trè ansyen nan OpenSSH sou bò kliyan an, ou ka oaza retounen kapasite nan itilize "ssh-rsa" siyati lè w ajoute nan ~/.ssh/config: Host old_hostname HostkeyAlgorithms + ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Nouvo vèsyon an tou rezoud yon pwoblèm sekirite ki te koze pa sshd, kòmanse ak OpenSSH 6.2, pa byen inisyalize gwoup itilizatè a lè yo egzekite kòmandman ki espesifye nan AuthorizedKeysCommand ak AuthorizedPrincipalsCommand direktiv yo. Direktiv sa yo te sipoze pèmèt kòmandman yo dwe kouri anba yon itilizatè diferan, men an reyalite yo eritye lis la nan gwoup yo itilize lè kouri sshd. Potansyèlman, konpòtman sa a, nan prezans sèten paramèt sistèm, pèmèt moun kap okipe a te lanse jwenn privilèj adisyonèl sou sistèm nan.
Nouvo nòt lage a gen ladan tou yon avètisman ke scp pral default nan SFTP olye pou yo eritaj SCP/RCP pwotokòl la. SFTP itilize metòd manyen non plis previzib epi li pa sèvi ak pwosesis koki nan modèl glob nan non dosye sou bò lòt lame a, ki kreye pwoblèm sekirite. An patikilye, lè w ap itilize SCP ak RCP, sèvè a deside ki fichye ak repèrtwar yo voye bay kliyan an, epi kliyan an sèlman tcheke kòrèkteman nan non objè yo retounen, ki, nan absans la nan chèk apwopriye sou bò kliyan an, pèmèt la. sèvè pou transfere lòt non fichye ki diferan de sa yo mande yo. Pwotokòl SFTP a pa gen pwoblèm sa yo, men li pa sipòte ekspansyon chemen espesyal tankou "~/". Pou adrese diferans sa a, yo te pwopoze yon nouvo ekstansyon nan pwotokòl SFTP nan lage anvan OpenSSH nan aplikasyon sèvè SFTP pou elaji chemen ~/ ak ~ itilizatè/.
Sous: opennet.ru