Ներկայացվել է OpenSSH 9.0-ի թողարկումը, որը հաճախորդի և սերվերի բաց ներդրում է SSH 2.0 և SFTP արձանագրություններով աշխատելու համար: Նոր տարբերակում scp կոմունալը լռելյայն փոխարկվել է SFTP-ի օգտագործման համար հնացած SCP/RCP արձանագրության փոխարեն:
SFTP-ն օգտագործում է անունների մշակման ավելի կանխատեսելի մեթոդներ և չի օգտագործում գլոբի օրինաչափությունների մշակում մյուս հյուրընկալողի կողմից ֆայլերի անուններում, ինչը անվտանգության խնդիրներ է ստեղծում: Մասնավորապես, SCP և RCP-ն օգտագործելիս սերվերը որոշում է, թե որ ֆայլերն ու գրացուցակները ուղարկի հաճախորդին, և հաճախորդը ստուգում է միայն վերադարձված օբյեկտների անունների ճշգրտությունը, ինչը հաճախորդի կողմից պատշաճ ստուգումների բացակայության դեպքում թույլ է տալիս. սերվեր փոխանցելու այլ ֆայլերի անուններ, որոնք տարբերվում են պահանջվածներից:
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[էլեկտրոնային փոստով պաշտպանված]~/ և ~user/ ուղիներն ընդարձակելու համար։
SFTP-ն օգտագործելիս օգտատերերը կարող են նաև հանդիպել անհամատեղելիությունների, որոնք պայմանավորված են SCP և RCP հարցումներում հատուկ ուղու ընդլայնման նիշերից կրկնակի դուրս գալու անհրաժեշտությամբ՝ կանխելու դրանց մեկնաբանումը հեռավոր կողմից: SFTP-ում նման փախուստը պարտադիր չէ, և լրացուցիչ մեջբերումները կարող են հանգեցնել տվյալների փոխանցման սխալի: Միևնույն ժամանակ, OpenSSH-ի մշակողները հրաժարվել են ավելացնել ընդլայնում, որպեսզի կրկնօրինակեն scp-ի վարքագիծն այս դեպքում, ուստի կրկնակի փախուստը համարվում է թերություն, որն իմաստ չունի կրկնել։
Նոր թողարկման այլ փոփոխություններ.
- Ssh-ը և sshd-ն ունեն լռելյայնորեն միացված հիբրիդային բանալիների փոխանակման ալգորիթմ:[էլեկտրոնային փոստով պաշտպանված]«(ECDH/x25519 + NTRU Prime), դիմացկուն է քվանտային համակարգիչներից ընտրելուն և համակցված է ECDH/x25519-ի հետ՝ արգելափակելու NTRU Prime-ում հնարավոր խնդիրները, որոնք կարող են առաջանալ ապագայում: KexAlgorithms-ի ցանկում, որը որոշում է բանալիների փոխանակման մեթոդների ընտրության հերթականությունը, նշված ալգորիթմն այժմ առաջին տեղում է և ունի ավելի բարձր առաջնահերթություն, քան ECDH և DH ալգորիթմները:
Քվանտային համակարգիչները դեռ չեն հասել ավանդական ստեղների կոտրման մակարդակին, սակայն հիբրիդային անվտանգության օգտագործումը կպաշտպանի օգտատերերին հարձակումներից, որոնք ներառում են խափանված SSH նիստերի պահպանումը՝ հույս ունենալով, որ դրանք ապագայում հնարավոր կլինի վերծանել, երբ հասանելի դառնան անհրաժեշտ քվանտային համակարգիչները:
- «copy-data» ընդլայնումը ավելացվել է sftp-server-ին, որը թույլ է տալիս պատճենել տվյալները սերվերի կողմից՝ առանց դրանք հաճախորդին փոխանցելու, եթե աղբյուրը և թիրախային ֆայլերը նույն սերվերում են:
- «cp» հրամանն ավելացվել է sftp կոմունալ ծրագրին՝ հաճախորդին սերվերի կողմից ֆայլերը պատճենելու նախաձեռնելու համար:
Source: opennet.ru