Eftir fimm mánaða þróun sleppa , opin útfærsla á biðlara og netþjóni til að vinna yfir SSH 2.0 og SFTP samskiptareglur.
Helstu breytingar:
- Tilraunastuðningur við lykilskiptaaðferð sem er ónæm fyrir árásum á grimmdarkrafti á skammtatölvu hefur verið bætt við ssh og sshd. Skammtatölvur eru róttækar fljótari að leysa vandamálið við að sundra náttúrulegum tölum í frumstuðla, sem liggur að baki nútíma ósamhverfum dulkóðunaralgrímum og er ekki hægt að leysa á áhrifaríkan hátt á klassískum örgjörvum. Fyrirhuguð aðferð er byggð á reikniritinu (aðgerð ntrup4591761), þróuð fyrir dulritunarkerfi eftir skammtafræði, og sporöskjulaga ferillyklaskiptaaðferð X25519;
- Í sshd styðja ListenAddress og PermitOpen tilskipanirnar ekki lengur eldri „host/port“ setningafræði, sem var innleidd árið 2001 sem valkostur við „host:port“ til að einfalda vinnu með IPv6. Við nútíma aðstæður hefur setningafræðinni „[::6]:1“ verið komið á fyrir IPv22 og „hýsil/gátt“ er oft ruglað saman við að gefa til kynna undirnetið (CIDR);
- ssh, ssh-agent og ssh-add styðja nú lykla í PKCS#11 táknum;
- Í ssh-keygen hefur sjálfgefin RSA lykilstærð verið aukin í 3072 bita, í samræmi við nýjar NIST ráðleggingar;
- ssh leyfir notkun "PKCS11Provider=none" stillingarinnar til að hnekkja PKCS11Provider tilskipuninni sem tilgreind er í ssh_config;
- sshd gefur upp færsluskrá yfir aðstæður þegar tengingunni er slitið þegar reynt er að framkvæma skipanir sem eru lokaðar af „ForceCommand=internal-sftp“ takmörkuninni í sshd_config;
- Í ssh, þegar birt er beiðni um að staðfesta samþykki nýs hýsillykils, í stað „já“ svarsins, er rétt fingrafar lykilsins nú samþykkt (sem svar við boðinu um að staðfesta tenginguna, getur notandinn afritað móttekið tilvísunarhass í gegnum klemmuspjaldið, til að bera það ekki saman handvirkt);
- ssh-keygen veitir sjálfvirka aukningu á raðnúmeri vottorðsins þegar búið er til stafrænar undirskriftir fyrir mörg vottorð á skipanalínunni;
- Nýr valkostur "-J" hefur verið bætt við scp og sftp, jafngildir ProxyJump stillingunni;
- Í ssh-agent, ssh-pkcs11-helper og ssh-add hefur vinnslu á „-v“ skipanalínuvalkostinum verið bætt við til að auka upplýsingainnihald úttaksins (þegar það er tilgreint er þessi valkostur sendur áfram til undirferla, t.d. dæmi, þegar ssh-pkcs11-helper er kallaður frá ssh-agent );
- „-T“ valkostinum hefur verið bætt við ssh-add til að prófa hæfi lykla í ssh-agent til að framkvæma stafrænar undirskriftir og staðfestingaraðgerðir;
- sftp-þjónn útfærir stuðning fyrir "lsetstat at openssh.com" samskiptareglur viðbótina, sem bætir við stuðningi við SSH2_FXP_SETSTAT aðgerðina fyrir SFTP, en án þess að fylgja táknrænum tenglum;
- Bætti "-h" valkostinum við sftp til að keyra chown/chgrp/chmod skipanir með beiðnum sem nota ekki táknræna tengla;
- sshd gefur upp stillingu á $SSH_CONNECTION umhverfisbreytunni fyrir PAM;
- Fyrir sshd hefur „Match final“ samsvörunarstillingu verið bætt við ssh_config, sem er svipað og „Match canonical“, en krefst þess ekki að staðla hýsilnafna til að vera virkjað;
- Bætti við stuðningi við '@' forskeytið í sftp til að slökkva á þýðingu á úttak skipana sem keyrðar eru í lotuham;
- Þegar þú birtir innihald vottorðs með því að nota skipunina
"ssh-keygen -Lf /path/certificate" sýnir nú algrímið sem CA notar til að staðfesta vottorðið; - Bættur stuðningur við Cygwin umhverfið, til dæmis að veita samanburð á hóp- og notendanöfnum sem ekki eru hástafir. sshd ferlinu í Cygwin tenginu hefur verið breytt í cygsshd til að koma í veg fyrir truflun á OpenSSH tengi sem Microsoft fylgir með;
- Bætti við möguleikanum til að byggja með tilrauna OpenSSL 3.x útibúinu;
- Útrýmt (CVE-2019-6111) í innleiðingu scp tólsins, sem gerir kleift að skrifa yfir handahófskenndar skrár í markskránni á biðlarahlið þegar aðgangur er að netþjóni sem stjórnað er af árásarmanni. Vandamálið er að þegar scp er notað ákveður þjónninn hvaða skrár og möppur á að senda til viðskiptavinarins og biðlarinn athugar aðeins réttmæti hlutanna sem skilað er. Athugun viðskiptavinarhliðar takmarkast við að loka aðeins á ferðir út fyrir núverandi möppu ("../") en tekur ekki tillit til flutnings á skrám með öðrum nöfnum en upphaflega var beðið um. Ef um er að ræða endurtekna afritun (-r), auk skráarheita, geturðu einnig hagrætt nöfnum undirmöppum á svipaðan hátt. Til dæmis, ef notandinn afritar skrár í heimamöppuna, getur þjónninn sem er stjórnað af árásarmanninum framleitt skrár með nöfnunum .bash_aliases eða .ssh/authorized_keys í staðinn fyrir umbeðnar skrár, og þær verða vistaðar af scp tólinu í notandanum heimaskrá.
Í nýju útgáfunni hefur scp tólið verið uppfært til að athuga samsvörun milli skráarheita sem beðið er um og þeirra sem send eru af þjóninum, sem er framkvæmt á biðlarahlið. Þetta getur valdið vandræðum með grímuvinnslu, þar sem stækkunarstafir grímu geta verið unnin á annan hátt á miðlara- og biðlarahlið. Ef slíkur munur veldur því að viðskiptavinurinn hættir að samþykkja skrár í scp, hefur „-T“ valmöguleikanum verið bætt við til að slökkva á athugun viðskiptavinarhliðar. Til að leiðrétta vandann að fullu þarf hugmyndafræðilega endurvinnslu á scp samskiptareglunum, sem sjálf er þegar úrelt, svo mælt er með því að nota nútímalegri samskiptareglur eins og sftp og rsync í staðinn.
Heimild: opennet.ru