プロホスト > ブログ > インターネットニュース > OpenSSH 8.0 リリース

OpenSSH 8.0 リリース

XNUMXか月の開発期間を経て 提示された 解放する OpenSSH 8.0、SSH 2.0 および SFTP プロトコルを介して動作するためのオープンなクライアントおよびサーバーの実装。

主な変更点:

  • 量子コンピュータへのブルートフォース攻撃に強い鍵交換方式の実験的サポートがsshとsshdに追加されました。 量子コンピューターは、現代の非対称暗号化アルゴリズムの基礎となっており、従来のプロセッサーでは効果的に解決できない、自然数を素因数に分解する問題を根本的に高速に解決します。 提案手法はアルゴリズムに基づいています NTRUプライム (関数 ntrup4591761)、ポスト量子暗号システムおよび楕円曲線鍵交換方式 X25519 用に開発されました。
  • sshd では、ListenAddress および PermitOpen ディレクティブは、IPv2001 での作業を簡素化するために「host:port」の代替として 6 年に実装された従来の「host/port」構文をサポートしなくなりました。 現在の状況では、IPv6 では構文「[::1]:22」が確立されており、「ホスト/ポート」はサブネット (CIDR) を示すことと混同されることがよくあります。
  • ssh、ssh-agent、および ssh-add がキーをサポートするようになりました ECDSA PKCS#11 トークン内。
  • ssh-keygen では、新しい NIST 推奨に従って、デフォルトの RSA キー サイズが 3072 ビットに増加されました。
  • ssh では、「PKCS11Provider=none」設定を使用して、ssh_config で指定された PKCS11Provider ディレクティブをオーバーライドできます。
  • sshd は、sshd_config の「ForceCommand=internal-sftp」制限によってブロックされたコマンドを実行しようとしたときに接続が終了したときの状況をログ表示します。
  • ssh では、新しいホスト キーの受け入れを確認するリクエストを表示するときに、「はい」応答の代わりにキーの正しいフィンガープリントが受け入れられるようになりました (接続を確認するための招待に応じて、ユーザーは手動で比較しないように、クリップボード経由で個別に受信した参照ハッシュ)。
  • ssh-keygen は、コマンド ラインで複数の証明書のデジタル署名を作成するときに、証明書のシーケンス番号を自動的に増加させます。
  • 新しいオプション「-J」が scp と sftp に追加されました。これは、ProxyJump 設定と同等です。
  • ssh-agent、ssh-pkcs11-helper、および ssh-add では、出力の情報内容を増やすために「-v」コマンドライン オプションの処理が追加されました (指定すると、このオプションは子プロセスに渡されます)。たとえば、 ssh-pkcs11-helper が ssh-agent から呼び出される場合);
  • デジタル署名の作成および検証操作を実行するための ssh-agent のキーの適合性をテストするために、ssh-add に「-T」オプションが追加されました。
  • sftp-server は、「lsetstat at openssh.com」プロトコル拡張のサポートを実装します。これにより、SFTP の SSH2_FXP_SETSTAT 操作のサポートが追加されますが、シンボリック リンクをたどることはありません。
  • シンボリック リンクを使用しないリクエストで chown/chgrp/chmod コマンドを実行するための「-h」オプションを sftp に追加しました。
  • sshd は、PAM の $SSH_CONNECTION 環境変数の設定を提供します。
  • sshd の場合、「Match Final」マッチング モードが ssh_config に追加されました。これは「Match canonical」に似ていますが、ホスト名の正規化を有効にする必要はありません。
  • バッチ モードで実行されたコマンドの出力の変換を無効にするために、sftp に「@」プレフィックスのサポートが追加されました。
  • コマンドを使用して証明書の内容を表示する場合
    「ssh-keygen -Lf /path/certificate」は、CA が証明書を検証するために使用するアルゴリズムを表示するようになりました。

  • Cygwin 環境のサポートが改善されました。たとえば、グループ名とユーザー名の大文字と小文字を区別しない比較が可能になりました。 Microsoft 提供の OpenSSH ポートとの干渉を避けるために、Cygwin ポートの sshd プロセスが cygsshd に変更されました。
  • 実験的な OpenSSL 3.x ブランチを使用してビルドする機能が追加されました。
  • 排除された 脆弱性 (CVE-2019-6111) scp ユーティリティの実装に問題があり、攻撃者が制御するサーバーにアクセスするときに、ターゲット ディレクトリ内の任意のファイルがクライアント側で上書きされる可能性があります。 問題は、scp を使用する場合、サーバーがクライアントに送信するファイルとディレクトリを決定し、クライアントは返されたオブジェクト名の正確性のみをチェックすることです。 クライアント側のチェックは、現在のディレクトリ (「../」) を越える移動をブロックすることのみに限定されていますが、最初に要求されたものとは異なる名前のファイルの転送は考慮されていません。 再帰コピー (-r) の場合、ファイル名に加えて、サブディレクトリの名前も同様の方法で操作できます。 たとえば、ユーザーがファイルをホーム ディレクトリにコピーすると、攻撃者が制御するサーバーは、要求されたファイルの代わりに .bash_aliases または .ssh/authorized_keys という名前のファイルを生成し、scp ユーティリティによってユーザーのファイルに保存されます。ホームディレクトリ。

    新しいリリースでは、scp ユーティリティが更新され、要求されたファイル名とサーバーによって送信されたファイル名との対応関係がチェックされ、これはクライアント側で実行されます。 マスク拡張文字はサーバー側とクライアント側で異なる方法で処理される可能性があるため、これによりマスク処理で問題が発生する可能性があります。 このような違いにより、クライアントが scp でのファイルの受け入れを停止する場合に備えて、クライアント側のチェックを無効にする「-T」オプションが追加されました。 この問題を完全に修正するには、scp プロトコルの概念的な再加工が必要ですが、このプロトコル自体はすでに時代遅れであるため、代わりに sftp や rsync などのより新しいプロトコルを使用することをお勧めします。

出所: オープンネット.ru

コメントを追加します