🥇OpenSSH 8.0 מהדורה

לאחר חמישה חודשים של פיתוח הציג שחרור OpenSSH 8.0, מימוש לקוח ושרת פתוח לעבודה באמצעות פרוטוקולי SSH 2.0 ו-SFTP.

שינויים עיקריים:

תמיכה ניסיונית בשיטת החלפת מפתחות עמידה בפני התקפות בכוח גס על מחשב קוונטי נוספה ל-ssh ול-sshd. מחשבים קוונטיים מהירים באופן קיצוני בפתרון הבעיה של פירוק מספר טבעי לגורמים ראשוניים, אשר עומדת בבסיס אלגוריתמי הצפנה א-סימטריים מודרניים ואינם ניתנים לפתרון יעיל במעבדים קלאסיים. השיטה המוצעת מבוססת על האלגוריתם NTRU Prime (פונקציה ntrup4591761), שפותחה עבור מערכות הצפנה פוסט-קוונטיות, ושיטת החלפת מפתח עקומה אליפטית X25519;
ב-sshd, הנחיות ListenAddress ו- PermitOpen אינן תומכות עוד בתחביר "מארח/פורט" מדור קודם, שיושם בשנת 2001 כחלופה ל-"host:port" כדי לפשט את העבודה עם IPv6. בתנאים מודרניים, התחביר "[::6]:1" הוקם עבור IPv22, ולעתים קרובות "מארח/יציאה" מבולבל עם ציון רשת המשנה (CIDR);
ssh, ssh-agent ו-ssh-add תומכים כעת במפתחות ECDSA באסימוני PKCS#11;
ב-ssh-keygen, גודל מפתח RSA ברירת המחדל הוגדל ל-3072 סיביות, בהתאם להמלצות החדשות של NIST;
ssh מאפשר שימוש בהגדרה "PKCS11Provider=none" כדי לעקוף את ההנחיה PKCS11Provider שצוינה ב-ssh_config;
sshd מספק תצוגת יומן של מצבים שבהם החיבור מופסק בעת ניסיון לבצע פקודות חסומות על ידי ההגבלה "ForceCommand=internal-sftp" ב-sshd_config;
ב-ssh, בעת הצגת בקשה לאשר קבלת מפתח מארח חדש, במקום תגובת "כן", מתקבלת כעת טביעת האצבע הנכונה של המפתח (בתגובה להזמנה לאשר את החיבור, המשתמש יכול להעתיק את Hash התייחסות שהתקבל בנפרד דרך הלוח, כדי לא להשוות אותו באופן ידני);
ssh-keygen מספק הגדלה אוטומטית של מספר רצף האישור בעת יצירת חתימות דיגיטליות עבור מספר אישורים בשורת הפקודה;
אפשרות חדשה "-J" נוספה ל-scp ול-sftp, המקבילה להגדרת ProxyJump;
ב-ssh-agent, ssh-pkcs11-helper ו-ssh-add, נוסף עיבוד של אפשרות שורת הפקודה "-v" כדי להגדיל את תוכן המידע של הפלט (כאשר מצוין, אפשרות זו מועברת לתהליכי צאצא, עבור לדוגמה, כאשר ssh-pkcs11-helper נקרא מ-ssh-agent );
האפשרות "-T" נוספה ל-ssh-add כדי לבדוק את התאמתם של מפתחות ב-ssh-agent לביצוע פעולות יצירה ואימות של חתימה דיגיטלית;
sftp-server מיישם תמיכה בסיומת פרוטוקול "lsetstat at openssh.com", שמוסיפה תמיכה בפעולת SSH2_FXP_SETSTAT עבור SFTP, אך ללא קישורים סמליים;
נוספה אפשרות "-h" ל-sftp כדי להפעיל פקודות chown/chgrp/chmod עם בקשות שאינן משתמשות בקישורים סמליים;
sshd מספק הגדרה של משתנה הסביבה $SSH_CONNECTION עבור PAM;
עבור sshd, מצב התאמה "Match final" נוסף ל-ssh_config, הדומה ל-"Match canonical", אך אינו דורש נורמליזציה של שם מארח כדי להיות פעיל;
נוספה תמיכה בקידומת '@' ל-sftp כדי לבטל את התרגום של הפלט של פקודות המבוצעות במצב אצווה;
כאשר אתה מציג את התוכן של תעודה באמצעות הפקודה
"ssh-keygen -Lf /path/certificate" מציג כעת את האלגוריתם המשמש את ה-CA לאימות האישור;
תמיכה משופרת בסביבת Cygwin, למשל מתן השוואה לא תלוית רישיות של שמות קבוצות ומשתמשים. תהליך sshd ביציאת Cygwin שונה ל-cygsshd כדי למנוע הפרעה ליציאת OpenSSH שסופקה על ידי מיקרוסופט;
נוספה את היכולת לבנות עם ענף OpenSSL 3.x הניסיוני;
מחוסל פגיעות (CVE-2019-6111) ביישום תוכנית השירות scp, המאפשרת לדרוס קבצים שרירותיים בספריית היעד בצד הלקוח בעת גישה לשרת הנשלט על ידי תוקף. הבעיה היא שבשימוש ב-SCP השרת מחליט אילו קבצים וספריות לשלוח ללקוח, והלקוח רק בודק את נכונות שמות האובייקטים המוחזרים. בדיקת צד הלקוח מוגבלת רק לחסימת נסיעות מעבר לספרייה הנוכחית ("../"), אך אינה לוקחת בחשבון העברת קבצים עם שמות שונים מאלה שהתבקשו במקור. במקרה של העתקה רקורסיבית (-r), בנוסף לשמות הקבצים, ניתן גם לבצע מניפולציות בשמות של ספריות משנה בצורה דומה. לדוגמה, אם המשתמש מעתיק קבצים לספריית הבית, השרת הנשלט על ידי התוקף יכול לייצר קבצים עם השמות .bash_aliases או .ssh/authorized_keys במקום הקבצים המבוקשים, והם יישמרו על ידי כלי השירות scp בקובץ של המשתמש ספריית הבית.
במהדורה החדשה, עודכן כלי השירות scp כדי לבדוק את ההתאמה בין שמות הקבצים המבוקשים לאלה שנשלחו על ידי השרת, המתבצעת בצד הלקוח. זה עלול לגרום לבעיות בעיבוד המסכה, מכיוון שתווי הרחבת המסכה עשויים להיות מעובדים בצורה שונה בצד השרת והלקוח. במקרה שהבדלים כאלה גורמים ללקוח להפסיק לקבל קבצים ב-scp, נוספה האפשרות "-T" כדי להשבית את הבדיקה בצד הלקוח. כדי לתקן את הבעיה במלואה, נדרש עיבוד רעיוני של פרוטוקול scp, שהוא עצמו כבר מיושן, ולכן מומלץ להשתמש במקום זאת בפרוטוקולים מודרניים יותר כגון sftp ו-rsync.

מקור: OpenNet.ru

מהדורת OpenSSH 8.0

הוספת תגובה ביטול תגובה