Rilis OpenSSH 9.0, implementasi terbuka klien dan server untuk bekerja menggunakan protokol SSH 2.0 dan SFTP, telah disajikan. Dalam versi baru, utilitas scp telah dialihkan secara default untuk menggunakan SFTP dan bukan protokol SCP/RCP yang sudah ketinggalan zaman.
SFTP menggunakan metode penanganan nama yang lebih dapat diprediksi dan tidak menggunakan pemrosesan shell pola glob dalam nama file di sisi host lain, yang menimbulkan masalah keamanan. Khususnya, ketika menggunakan SCP dan RCP, server memutuskan file dan direktori mana yang akan dikirim ke klien, dan klien hanya memeriksa kebenaran nama objek yang dikembalikan, yang, jika tidak ada pemeriksaan yang tepat di sisi klien, memungkinkan server untuk mentransfer nama file lain yang berbeda dari yang diminta.
ΠΡΠΎΡΠΎΠΊΠΎΠ» SFTP Π»ΠΈΡΡΠ½ ΡΠΊΠ°Π·Π°Π½Π½ΡΡ ΠΏΡΠΎΠ±Π»Π΅ΠΌ, Π½ΠΎ Π½Π΅ ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅Ρ ΡΠ°ΡΠΊΡΡΡΠΈΠ΅ ΡΠΏΠ΅ΡΠΏΡΡΠ΅ΠΉ, ΡΠ°ΠΊΠΈΡ ΠΊΠ°ΠΊ Β«~/Β». ΠΠ»Ρ ΡΡΡΡΠ°Π½Π΅Π½ΠΈΡ Π΄Π°Π½Π½ΠΎΠ³ΠΎ ΡΠ°Π·Π»ΠΈΡΠΈΡ Π½Π°ΡΠΈΠ½Π°Ρ Ρ OpenSSH 8.7 Π² ΡΠ΅Π°Π»ΠΈΠ·Π°ΡΠΈΠΈ SFTP-ΡΠ΅ΡΠ²Π΅ΡΠ° ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅ΡΡΡ ΡΠ°ΡΡΠΈΡΠ΅Π½ΠΈΠ΅ ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Π° Β«[email dilindungi]" untuk memperluas jalur ~/ dan ~user/.
Saat menggunakan SFTP, pengguna mungkin juga mengalami ketidakcocokan yang disebabkan oleh kebutuhan untuk menghindari dua kali karakter perluasan jalur khusus dalam permintaan SCP dan RCP untuk mencegah interpretasinya oleh pihak jarak jauh. Di SFTP, pelolosan seperti itu tidak diperlukan dan tanda kutip tambahan dapat menyebabkan kesalahan transfer data. Pada saat yang sama, pengembang OpenSSH menolak menambahkan ekstensi untuk mereplikasi perilaku scp dalam kasus ini, jadi pelolosan ganda dianggap sebagai cacat yang tidak masuk akal untuk diulangi.
Perubahan lain dalam rilis baru:
- Ssh dan sshd memiliki algoritma pertukaran kunci hybrid yang diaktifkan secara default "[email dilindungi]"(ECDH/x25519 + NTRU Prime), tahan terhadap gangguan pada komputer kuantum dan dikombinasikan dengan ECDH/x25519 untuk memblokir kemungkinan masalah di NTRU Prime yang mungkin timbul di masa mendatang. Dalam daftar KexAlgorithms, yang menentukan urutan pemilihan metode pertukaran kunci, algoritma yang disebutkan kini ditempatkan pertama dan memiliki prioritas lebih tinggi daripada algoritma ECDH dan DH.
Komputer kuantum belum mencapai tingkat peretasan kunci tradisional, tetapi penggunaan keamanan hibrid akan melindungi pengguna dari serangan yang melibatkan penyimpanan sesi SSH yang dicegat dengan harapan sesi SSH tersebut dapat didekripsi di masa mendatang ketika komputer kuantum yang diperlukan telah tersedia.
- Ekstensi βcopy-dataβ telah ditambahkan ke sftp-server, yang memungkinkan Anda menyalin data di sisi server, tanpa memindahkannya ke klien, jika file sumber dan target berada di server yang sama.
- Perintah "cp" telah ditambahkan ke utilitas sftp untuk memulai klien menyalin file di sisi server.
Sumber: opennet.ru