ProHoster > Π‘Π»ΠΎΠ³ > warta internet > OpenSSH 8.0 release

OpenSSH 8.0 release

Sawise limang sasi pembangunan diwenehi ngeculake OpenSSH 8.0, implementasi klien lan server sing mbukak kanggo nggarap protokol SSH 2.0 lan SFTP.

Owah-owahan utama:

  • Dhukungan eksperimen kanggo cara ijol-ijolan kunci sing tahan serangan brute-force ing komputer kuantum wis ditambahake menyang ssh lan sshd. Komputer kuantum kanthi radikal luwih cepet kanggo ngrampungake masalah ngurai angka alami dadi faktor prima, sing ndasari algoritma enkripsi asimetris modern lan ora bisa ditanggulangi kanthi efektif ing prosesor klasik. Cara sing diusulake adhedhasar algoritma NTRU Perdana (fungsi ntrup4591761), dikembangake kanggo kriptosistem post-kuantum, lan metode pertukaran kunci kurva eliptik X25519;
  • Ing sshd, arahan ListenAddress lan PermitOpen ora ndhukung sintaks "host/port" warisan, sing dileksanakake ing taun 2001 minangka alternatif kanggo "host: port" kanggo nyederhanakake nggarap IPv6. Ing kahanan modern, sintaks "[::6]:1" wis ditetepake kanggo IPv22, lan "host / port" asring bingung karo nuduhake subnet (CIDR);
  • ssh, ssh-agent lan ssh-add saiki ndhukung tombol ECDSA ing PKCS # 11 token;
  • Ing ssh-keygen, ukuran tombol RSA standar wis tambah kanggo 3072 bit, sesuai karo Rekomendasi NIST anyar;
  • ssh ngidini nggunakake setelan "PKCS11Provider = ora ana" kanggo ngatasi arahan PKCS11Provider kasebut ing ssh_config;
  • sshd nyedhiyakake tampilan log kahanan nalika sambungan dihentikan nalika nyoba nglakokake perintah sing diblokir dening watesan "ForceCommand = internal-sftp" ing sshd_config;
  • Ing ssh, nalika nampilake panjalukan kanggo konfirmasi ditampa tombol host anyar, tinimbang respon "ya", sidik jari sing bener saiki ditampa (minangka nanggepi undhangan kanggo konfirmasi sambungan, pangguna bisa nyalin Hash referensi ditampa kanthi kapisah liwat clipboard, supaya ora mbandhingake kanthi manual);
  • ssh-keygen menehi incrementing otomatis nomer urutan certificate nalika nggawe teken digital kanggo sawetara sertifikat ing baris printah;
  • Opsi anyar "-J" wis ditambahake menyang scp lan sftp, padha karo setelan ProxyJump;
  • Ing ssh-agent, ssh-pkcs11-helper lan ssh-add, pangolahan opsi baris printah "-v" wis ditambahake kanggo nambah isi informasi output (nalika kasebut, pilihan iki diterusake menyang proses anak, kanggo contone, nalika ssh-pkcs11-helper diarani saka ssh-agent );
  • Opsi "-T" wis ditambahake menyang ssh-add kanggo nguji kesesuaian tombol ing ssh-agen kanggo nindakake operasi nggawe lan verifikasi teken digital;
  • sftp-server ngetrapake dhukungan kanggo ekstensi protokol "lsetstat at openssh.com", sing nambah dhukungan kanggo operasi SSH2_FXP_SETSTAT kanggo SFTP, nanging tanpa pranala simbolis;
  • Added "-h" pilihan kanggo sftp kanggo mbukak chown / chgrp / chmod printah karo panjalukan sing ora nggunakake pranala simbolis;
  • sshd nyedhiyakake setelan variabel lingkungan $SSH_CONNECTION kanggo PAM;
  • Kanggo sshd, mode cocog "Match final" wis ditambahake menyang ssh_config, sing padha karo "Match canonical", nanging ora mbutuhake normalisasi hostname kanggo diaktifake;
  • Dhukungan ditambahake kanggo awalan '@' menyang sftp kanggo mateni terjemahan saka output printah sing dieksekusi ing mode kumpulan;
  • Nalika sampeyan nampilake isi sertifikat nggunakake printah
    "ssh-keygen -Lf /path/certificate" saiki nampilake algoritma sing digunakake dening CA kanggo validasi sertifikat;

  • Dhukungan sing luwih apik kanggo lingkungan Cygwin, contone nyediakake perbandingan cilik-sensitif saka grup lan jeneng pangguna. Proses sshd ing port Cygwin wis diganti dadi cygsshd supaya ora ana gangguan karo port OpenSSH sing diwenehake Microsoft;
  • Ditambahake kemampuan kanggo mbangun karo cabang OpenSSL 3.x eksperimen;
  • diilangi kerentanan (CVE-2019-6111) ing implementasine utilitas scp, sing ngidini file sewenang-wenang ing direktori target ditimpa ing sisih klien nalika ngakses server sing dikontrol dening panyerang. Masalahe yaiku nalika nggunakake scp, server mutusake file lan direktori sing bakal dikirim menyang klien, lan klien mung mriksa kabeneran jeneng obyek sing bali. Priksa sisih klien diwatesi mung kanggo ngalangi lelungan ngluwihi direktori saiki ("../"), nanging ora nggatekake transfer file kanthi jeneng sing beda karo sing dijaluk. Ing kasus salinan rekursif (-r), saliyane jeneng file, sampeyan uga bisa ngapusi jeneng subdirektori kanthi cara sing padha. Contone, yen pangguna nyalin file menyang direktori ngarep, server sing dikontrol dening panyerang bisa ngasilake file kanthi jeneng .bash_aliases utawa .ssh/authorized_keys tinimbang file sing dijaluk, lan bakal disimpen dening sarana scp ing pangguna. direktori ngarep.

    Ing rilis anyar, utilitas scp wis dianyari kanggo mriksa korespondensi antarane jeneng file sing dijaluk lan sing dikirim dening server, sing ditindakake ing sisih klien. Iki bisa nyebabake masalah pangolahan topeng, amarga karakter ekspansi topeng bisa diproses kanthi beda ing sisih server lan klien. Yen prabΓ©dan kasebut nyebabake klien mandheg nampa file ing scp, pilihan "-T" wis ditambahake kanggo mateni mriksa sisih klien. Kanggo mbenerake masalah kasebut, reworking konseptual protokol scp dibutuhake, sing dhewe wis ketinggalan jaman, mula disaranake nggunakake protokol sing luwih modern kayata sftp lan rsync.

Source: opennet.ru

Add a comment