ProHoster > blog > berita internet > Rilis OpenSSH 8.0

Rilis OpenSSH 8.0

Setelah lima bulan pengembangan disajikan melepaskan OpenSSH 8.0, implementasi klien dan server terbuka untuk bekerja melalui protokol SSH 2.0 dan SFTP.

Perubahan besar:

  • Dukungan eksperimental untuk metode pertukaran kunci yang tahan terhadap serangan brute force pada komputer kuantum telah ditambahkan ke ssh dan sshd. Komputer kuantum jauh lebih cepat dalam memecahkan masalah penguraian bilangan asli menjadi faktor prima, yang mendasari algoritma enkripsi asimetris modern dan tidak dapat diselesaikan secara efektif pada prosesor klasik. Metode yang diusulkan didasarkan pada algoritma NTRU Perdana (fungsi ntrup4591761), dikembangkan untuk kriptosistem pasca-kuantum, dan metode pertukaran kunci kurva elips X25519;
  • Di sshd, arahan ListenAddress dan PermitOpen tidak lagi mendukung sintaksis "host/port" lama, yang diterapkan pada tahun 2001 sebagai alternatif dari "host:port" untuk menyederhanakan bekerja dengan IPv6. Dalam kondisi modern, sintaksis “[::6]:1” telah ditetapkan untuk IPv22, dan “host/port” sering dikacaukan dengan indikasi subnet (CIDR);
  • ssh, ssh-agent dan ssh-add sekarang mendukung kunci PAUD dalam token PKCS#11;
  • Di ssh-keygen, ukuran kunci RSA default telah ditingkatkan menjadi 3072 bit, sesuai dengan rekomendasi NIST yang baru;
  • ssh mengizinkan penggunaan pengaturan "PKCS11Provider=none" untuk mengesampingkan arahan PKCS11Provider yang ditentukan dalam ssh_config;
  • sshd menyediakan tampilan log situasi ketika koneksi dihentikan ketika mencoba menjalankan perintah yang diblokir oleh pembatasan “ForceCommand=internal-sftp” di sshd_config;
  • Di ssh, saat menampilkan permintaan untuk mengonfirmasi penerimaan kunci host baru, alih-alih respons "ya", sidik jari yang benar dari kunci tersebut sekarang diterima (sebagai respons terhadap undangan untuk mengonfirmasi koneksi, pengguna dapat menyalin menerima hash referensi secara terpisah melalui clipboard, agar tidak membandingkannya secara manual);
  • ssh-keygen menyediakan penambahan otomatis nomor urut sertifikat saat membuat tanda tangan digital untuk beberapa sertifikat pada baris perintah;
  • Opsi baru "-J" telah ditambahkan ke scp dan sftp, setara dengan pengaturan ProxyJump;
  • Di ssh-agent, ssh-pkcs11-helper dan ssh-add, pemrosesan opsi baris perintah “-v” telah ditambahkan untuk meningkatkan konten informasi output (bila ditentukan, opsi ini diteruskan ke proses anak, misalnya contoh, ketika ssh-pkcs11-helper dipanggil dari ssh-agent );
  • Opsi “-T” telah ditambahkan ke ssh-add untuk menguji kesesuaian kunci di ssh-agent untuk melakukan pembuatan tanda tangan digital dan operasi verifikasi;
  • sftp-server mengimplementasikan dukungan untuk ekstensi protokol “lsetstat at openssh.com”, yang menambahkan dukungan untuk operasi SSH2_FXP_SETSTAT untuk SFTP, tetapi tanpa mengikuti tautan simbolik;
  • Menambahkan opsi "-h" ke sftp untuk menjalankan perintah chown/chgrp/chmod dengan permintaan yang tidak menggunakan tautan simbolis;
  • sshd menyediakan pengaturan variabel lingkungan $SSH_CONNECTION untuk PAM;
  • Untuk sshd, mode pencocokan “Match final” telah ditambahkan ke ssh_config, yang mirip dengan “Match canonical”, tetapi tidak memerlukan normalisasi nama host untuk diaktifkan;
  • Menambahkan dukungan untuk awalan '@' ke sftp untuk menonaktifkan terjemahan output perintah yang dijalankan dalam mode batch;
  • Saat Anda menampilkan konten sertifikat menggunakan perintah
    "ssh-keygen -Lf /path/certificate" sekarang menampilkan algoritma yang digunakan oleh CA untuk memvalidasi sertifikat;

  • Peningkatan dukungan untuk lingkungan Cygwin, misalnya menyediakan perbandingan nama grup dan pengguna yang tidak peka huruf besar-kecil. Proses sshd di port Cygwin telah diubah menjadi cygsshd untuk menghindari gangguan pada port OpenSSH yang disediakan Microsoft;
  • Menambahkan kemampuan untuk membangun dengan cabang eksperimental OpenSSL 3.x;
  • Dieliminasi kerentanan (CVE-2019-6111) dalam implementasi utilitas scp, yang memungkinkan file arbitrer di direktori target ditimpa di sisi klien saat mengakses server yang dikendalikan oleh penyerang. Masalahnya adalah ketika menggunakan scp, server memutuskan file dan direktori mana yang akan dikirim ke klien, dan klien hanya memeriksa kebenaran nama objek yang dikembalikan. Pemeriksaan sisi klien terbatas hanya pada pemblokiran perjalanan di luar direktori saat ini (“../”), namun tidak memperhitungkan transfer file dengan nama yang berbeda dari yang diminta semula. Dalam kasus penyalinan rekursif (-r), selain nama file, Anda juga dapat memanipulasi nama subdirektori dengan cara yang sama. Misalnya, jika pengguna menyalin file ke direktori home, server yang dikendalikan oleh penyerang dapat menghasilkan file dengan nama .bash_aliases atau .ssh/authorized_keys alih-alih file yang diminta, dan file tersebut akan disimpan oleh utilitas scp di direktori pengguna. direktori rumah.

    Dalam rilis baru, utilitas scp telah diperbarui untuk memeriksa korespondensi antara nama file yang diminta dan yang dikirim oleh server, yang dilakukan di sisi klien. Hal ini dapat menyebabkan masalah dengan pemrosesan mask, karena karakter perluasan mask mungkin diproses secara berbeda di sisi server dan klien. Jika perbedaan tersebut menyebabkan klien berhenti menerima file di scp, opsi “-T” telah ditambahkan untuk menonaktifkan pemeriksaan sisi klien. Untuk memperbaiki masalah sepenuhnya, diperlukan pengerjaan ulang konseptual dari protokol scp, yang sudah ketinggalan jaman, jadi disarankan untuk menggunakan protokol yang lebih modern seperti sftp dan rsync.

Sumber: opennet.ru

Tambah komentar