È stata presentata la versione OpenSSH 9.0, un'implementazione aperta di client e server per lavorare con i protocolli SSH 2.0 e SFTP. Nella nuova versione, l'utilità scp è stata impostata per impostazione predefinita per utilizzare SFTP invece del protocollo obsoleto SCP/RCP.
SFTP utilizza metodi di gestione dei nomi più prevedibili e non utilizza l'elaborazione della shell dei modelli glob nei nomi dei file sul lato dell'altro host, il che crea problemi di sicurezza. In particolare, quando si utilizzano SCP e RCP, il server decide quali file e directory inviare al client, e il client si limita a verificare la correttezza dei nomi degli oggetti restituiti, il che, in assenza di adeguati controlli lato client, consente la server per trasferire altri nomi di file diversi da quelli richiesti.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[email protected]" per espandere i percorsi ~/ e ~user/.
Quando si utilizza SFTP, gli utenti potrebbero anche riscontrare incompatibilità causate dalla necessità di eseguire il doppio escape dei caratteri speciali di espansione del percorso nelle richieste SCP e RCP per impedirne l'interpretazione da parte del lato remoto. In SFTP, tale escape non è richiesto e le virgolette aggiuntive possono portare a un errore di trasferimento dei dati. Allo stesso tempo, gli sviluppatori di OpenSSH si sono rifiutati di aggiungere un'estensione per replicare il comportamento di scp in questo caso, quindi il doppio escape è considerato un difetto che non ha senso ripetere.
Altre modifiche nella nuova versione:
- Ssh e sshd hanno un algoritmo di scambio di chiavi ibrido abilitato per impostazione predefinita "[email protected]"(ECDH/x25519 + NTRU Prime), resistente al picking sui computer quantistici e combinato con ECDH/x25519 per bloccare possibili problemi in NTRU Prime che potrebbero verificarsi in futuro. Nell'elenco dei KexAlgorithms, che determina l'ordine in cui vengono selezionati i metodi di scambio delle chiavi, l'algoritmo menzionato è ora al primo posto e ha una priorità più alta rispetto agli algoritmi ECDH e DH.
I computer quantistici non hanno ancora raggiunto il livello di cracking delle chiavi tradizionali, ma l’uso della sicurezza ibrida proteggerà gli utenti dagli attacchi che implicano l’archiviazione di sessioni SSH intercettate nella speranza che possano essere decrittografate in futuro quando i computer quantistici necessari saranno disponibili.
- A sftp-server è stata aggiunta l'estensione “copy-data”, che consente di copiare i dati lato server, senza transitarli al client, se i file di origine e di destinazione si trovano sullo stesso server.
- Il comando "cp" è stato aggiunto all'utilità sftp per avviare il client a copiare i file sul lato server.
Fonte: opennet.ru