Rilis OpenSSH 8.8 wis diterbitake, implementasine mbukak klien lan server kanggo nggarap protokol SSH 2.0 lan SFTP. Rilis kasebut misuwur amarga mateni kanthi standar kemampuan kanggo nggunakake tandha digital adhedhasar tombol RSA kanthi hash SHA-1 ("ssh-rsa").
Penghentian dhukungan kanggo teken "ssh-rsa" amarga tambah efisiensi serangan tabrakan kanthi prefiks tartamtu (biaya kanggo milih tabrakan kira-kira $ 50 ewu). Kanggo nguji panggunaan ssh-rsa ing sistem sampeyan, sampeyan bisa nyoba nyambungake liwat ssh nganggo opsi "-oHostKeyAlgorithm=-ssh-rsa". Dhukungan kanggo teken RSA karo SHA-256 lan SHA-512 hash (rsa-sha2-256/512), sing wis didhukung wiwit OpenSSH 7.2, tetep ora diganti.
Umume kasus, nyetop dhukungan kanggo "ssh-rsa" ora mbutuhake tumindak manual saka pangguna, amarga OpenSSH sadurunge wis ngaktifake setelan UpdateHostKeys kanthi gawan, sing kanthi otomatis migrasi klien menyang algoritma sing luwih dipercaya. Kanggo migrasi, ekstensi protokol "[email dilindhungi]", ngidini server, sawise otentikasi, ngandhani klien babagan kabeh kunci host sing kasedhiya. Yen sampeyan nyambungake menyang host karo versi OpenSSH sing lawas banget ing sisih klien, sampeyan bisa milih kanthi selektif kanggo nggunakake teken "ssh-rsa" kanthi nambahake menyang ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Versi anyar uga ngrampungake masalah keamanan sing disebabake dening sshd, diwiwiti karo OpenSSH 6.2, ora nginisialisasi grup pangguna kanthi bener nalika nglakokake perintah sing ditemtokake ing arahan AuthorizedKeysCommand lan AuthorizedPrincipalsCommand. Arahan kasebut mesthine ngidini printah bisa ditindakake ing pangguna sing beda, nanging nyatane dheweke entuk dhaptar klompok sing digunakake nalika mbukak sshd. Potensi, prilaku iki, ing ngarsane setelan sistem tartamtu, ngidini handler dibukak kanggo gain hak istimewa tambahan ing sistem.
Cathetan rilis anyar uga kalebu bebaya yen scp bakal dadi standar kanggo SFTP tinimbang protokol SCP/RCP warisan. SFTP nggunakake cara nangani jeneng sing luwih bisa diprediksi lan ora nggunakake pangolahan cangkang pola glob ing jeneng file ing sisih host liyane, sing nggawe masalah keamanan. Utamane, nalika nggunakake SCP lan RCP, server mutusake file lan direktori sing bakal dikirim menyang klien, lan klien mung mriksa kebeneran jeneng obyek sing bali, sing, yen ora ana mriksa sing tepat ing sisih klien, ngidini server kanggo nransfer jeneng berkas liyane sing beda saka sing dijaluk. Protokol SFTP ora duwe masalah kasebut, nanging ora ndhukung ekspansi jalur khusus kayata "~/". Kanggo ngatasi prabΓ©dan iki, rilis OpenSSH sadurunge ngenalake ekstensi protokol SFTP anyar menyang jalur ~ / lan ~ pangguna / ing implementasi server SFTP.
Source: opennet.ru