SSH 9.0 および SFTP プロトコルを使用して動作するクライアントとサーバーのオープン実装である OpenSSH 2.0 のリリースが発表されました。 新しいバージョンでは、scp ユーティリティは、古い SCP/RCP プロトコルの代わりに SFTP を使用するようにデフォルトで切り替えられました。
SFTP は、より予測可能な名前処理方法を使用し、セキュリティ上の問題を引き起こす、他のホスト側のファイル名の glob パターンのシェル処理を使用しません。 特に、SCP と RCP を使用する場合、サーバーはクライアントに送信するファイルとディレクトリを決定し、クライアントは返されたオブジェクト名の正確性のみをチェックします。これにより、クライアント側で適切なチェックが行われないと、サーバーは、要求されたものとは異なる他のファイル名を転送します。
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[メール保護]" を使用して ~/ パスと ~user/ パスを展開します。
SFTP を使用する場合、リモート側による解釈を防ぐために、SCP および RCP リクエスト内の特殊なパス拡張文字を二重エスケープする必要があるために、非互換性が発生する可能性もあります。 SFTP では、このようなエスケープは必要なく、余分な引用符によってデータ転送エラーが発生する可能性があります。 同時に、OpenSSH 開発者は、この場合の scp の動作を複製するための拡張機能の追加を拒否したため、二重エスケープは繰り返す意味のない欠陥であると考えられます。
新しいリリースのその他の変更点:
- Ssh と sshd では、ハイブリッド鍵交換アルゴリズムがデフォルトで有効になっています。[メール保護]"(ECDH/x25519 + NTRU Prime)、量子コンピュータへのピッキングに耐性があり、ECDH/x25519 と組み合わせることで、将来発生する可能性のある NTRU Prime の問題をブロックします。 鍵交換方式が選択される順序を決定する KexAlgorithms のリストでは、前述のアルゴリズムが最初に配置され、ECDH および DH アルゴリズムよりも高い優先順位を持ちます。
量子コンピューターはまだ従来の鍵をクラッキングするレベルには達していませんが、ハイブリッド セキュリティを使用すると、将来必要な量子コンピューターが利用可能になったときに解読できることを期待して、傍受した SSH セッションを保存することを伴う攻撃からユーザーを保護できます。
- 「copy-data」拡張子が sftp-server に追加されました。これにより、ソース ファイルとターゲット ファイルが同じサーバー上にある場合、データをクライアントに転送せずにサーバー側でデータをコピーできるようになります。
- クライアントによるサーバー側のファイルのコピーを開始する「cp」コマンドが sftp ユーティリティに追加されました。
出所: オープンネット.ru