Հրապարակվել է OpenSSH 8.8-ի թողարկումը՝ հաճախորդի և սերվերի բաց ներդրում՝ SSH 2.0 և SFTP արձանագրություններով աշխատելու համար։ Թողարկումը նշանավոր է նրանով, որ լռելյայն անջատում է թվային ստորագրություններ օգտագործելու հնարավորությունը՝ հիմնված RSA ստեղների վրա SHA-1 հեշով («ssh-rsa»):
«ssh-rsa» ստորագրությունների աջակցության դադարեցումը պայմանավորված է տվյալ նախածանցով բախումների հարձակումների արդյունավետության բարձրացմամբ (բախման ընտրության արժեքը գնահատվում է մոտավորապես 50 հազար դոլար): Ձեր համակարգերում ssh-rsa-ի օգտագործումը ստուգելու համար կարող եք փորձել միանալ ssh-ի միջոցով «-oHostKeyAlgorithms=-ssh-rsa» տարբերակով: RSA ստորագրությունների աջակցությունը SHA-256 և SHA-512 հեշերով (rsa-sha2-256/512), որոնք աջակցվում են OpenSSH 7.2-ից ի վեր, մնում է անփոփոխ:
Շատ դեպքերում, «ssh-rsa»-ի աջակցության դադարեցումը օգտվողներից չի պահանջի որևէ ձեռքով գործողություններ, քանի որ նախկինում OpenSSH-ը լռելյայն միացված էր UpdateHostKeys-ի կարգավորումը, որն ավտոմատ կերպով տեղափոխում է հաճախորդներին ավելի հուսալի ալգորիթմներ: Միգրացիայի համար արձանագրության ընդլայնումը «[էլեկտրոնային փոստով պաշտպանված]«, թույլ տալով սերվերին նույնականացումից հետո հաճախորդին տեղեկացնել բոլոր հասանելի հոսթ բանալիների մասին: Հաճախորդի կողմից OpenSSH-ի շատ հին տարբերակներով հոսթներին միանալու դեպքում կարող եք ընտրողաբար վերադարձնել «ssh-rsa» ստորագրություններ օգտագործելու հնարավորությունը՝ ավելացնելով ~/.ssh/config. Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + սշ-րսա
Նոր տարբերակը նաև լուծում է անվտանգության խնդիրը, որն առաջացել է sshd-ից՝ սկսած OpenSSH 6.2-ից, որը պատշաճ կերպով չի նախաստորագրում օգտատերերի խումբը՝ AuthorizedKeysCommand և AuthorizedPrincipalsCommand հրահանգներում նշված հրամանները կատարելիս: Ենթադրվում էր, որ այս հրահանգները թույլ էին տալիս հրամանները գործարկել այլ օգտվողի ներքո, բայց իրականում նրանք ժառանգեցին sshd-ն գործարկելու ժամանակ օգտագործվող խմբերի ցանկը: Հնարավոր է, որ այս վարքագիծը, որոշակի համակարգի կարգավորումների առկայության դեպքում, թույլ տվեց գործարկված մշակողին լրացուցիչ արտոնություններ ձեռք բերել համակարգի վրա:
Նոր թողարկման նշումը ներառում է նաև նախազգուշացում, որ scp-ն որպես լռելյայն կմտնի SFTP՝ նախկին SCP/RCP արձանագրության փոխարեն: SFTP-ն օգտագործում է անունների մշակման ավելի կանխատեսելի մեթոդներ և չի օգտագործում գլոբի օրինաչափությունների մշակում մյուս հյուրընկալողի կողմից ֆայլերի անուններում, ինչը անվտանգության խնդիրներ է ստեղծում: Մասնավորապես, SCP և RCP-ն օգտագործելիս սերվերը որոշում է, թե որ ֆայլերն ու գրացուցակները ուղարկի հաճախորդին, և հաճախորդը ստուգում է միայն վերադարձված օբյեկտների անունների ճշգրտությունը, ինչը հաճախորդի կողմից պատշաճ ստուգումների բացակայության դեպքում թույլ է տալիս. սերվեր փոխանցելու այլ ֆայլերի անուններ, որոնք տարբերվում են պահանջվածներից: SFTP արձանագրությունը չունի այս խնդիրները, բայց չի աջակցում հատուկ ուղիների ընդլայնմանը, ինչպիսին է «~/»: Այս տարբերությունը լուծելու համար առաջարկվել է SFTP արձանագրության նոր ընդլայնում OpenSSH-ի նախորդ թողարկումում՝ SFTP սերվերի ներդրման մեջ՝ ընդլայնելու համար ~/ և ~user/ ուղիները:
Source: opennet.ru