OpenSSH 8.8 шығарылымы, SSH 2.0 және SFTP хаттамалары арқылы жұмыс істеуге арналған клиент пен сервердің ашық іске асырылуы жарияланды. Шығарылым RSA кілттеріне негізделген сандық қолтаңбаларды SHA-1 хэшімен («ssh-rsa») пайдалану мүмкіндігін әдепкі бойынша өшіруімен ерекшеленеді.
«ssh-rsa» қолтаңбаларын қолдауды тоқтату берілген префикспен соқтығысқан шабуылдардың тиімділігінің артуына байланысты (соқтығысты таңдау құны шамамен $50 мыңға бағаланады). Жүйелеріңізде ssh-rsa пайдалануын тексеру үшін “-oHostKeyAlgorithms=-ssh-rsa” опциясымен ssh арқылы қосылуға болады. OpenSSH 256 нұсқасынан бері қолдау көрсетілетін SHA-512 және SHA-2 хэштері (rsa-sha256-512/7.2) бар RSA қолтаңбаларын қолдау өзгеріссіз қалады.
Көп жағдайда «ssh-rsa» қолдауын тоқтату пайдаланушылардан ешқандай қолмен әрекеттерді қажет етпейді, өйткені OpenSSH бұрын әдепкі бойынша UpdateHostKeys параметрі қосылған, ол клиенттерді сенімдірек алгоритмдерге автоматты түрде тасымалдайды. Көшіру үшін протокол кеңейтімі «[электрондық пошта қорғалған]", серверге аутентификациядан кейін клиентке барлық қолжетімді хост кілттері туралы хабарлауға мүмкіндік береді. Клиент жағында OpenSSH өте ескі нұсқалары бар хосттарға қосылған жағдайда, ~/.ssh/config ішіне қосу арқылы «ssh-rsa» қолтаңбаларын пайдалану мүмкіндігін таңдаулы түрде қайтаруға болады: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Жаңа нұсқа сонымен қатар AuthorizedKeysCommand және AuthorizedPrincipalsCommand директиваларында көрсетілген пәрмендерді орындау кезінде пайдаланушы тобын дұрыс инициализацияламай, OpenSSH 6.2 нұсқасынан бастап sshd туындаған қауіпсіздік мәселесін шешеді. Бұл директивалар пәрмендерді басқа пайдаланушы астында орындауға мүмкіндік беруі керек еді, бірақ іс жүзінде олар sshd іске қосқан кезде пайдаланылатын топтардың тізімін мұра етті. Ықтимал, бұл әрекет белгілі бір жүйе параметрлері болған кезде іске қосылған өңдеушіге жүйеде қосымша артықшылықтар алуға мүмкіндік берді.
Жаңа шығарылым ескертпесі сонымен қатар бұрынғы SCP/RCP протоколының орнына scp әдепкі бойынша SFTP болатыны туралы ескертуді қамтиды. SFTP болжанатын атауларды өңдеу әдістерін пайдаланады және басқа хост жағындағы файл атауларындағы глоб үлгілерінің қабықша өңдеуін пайдаланбайды, бұл қауіпсіздік мәселелерін тудырады. Атап айтқанда, SCP және RCP пайдалану кезінде сервер клиентке қандай файлдар мен каталогтарды жіберу керектігін шешеді, ал клиент қайтарылған нысан атауларының дұрыстығын ғана тексереді, бұл клиент тарапынан тиісті тексерулер болмаған жағдайда, Сұралғандардан өзгеше басқа файл атауларын тасымалдау үшін сервер. SFTP протоколында мұндай проблемалар жоқ, бірақ «~/» сияқты арнайы жолдарды кеңейтуді қолдамайды. Бұл айырмашылықты жою үшін, ~/ және ~user/ жолдарын кеңейту үшін SFTP серверін іске асыруда OpenSSH алдыңғы шығарылымында SFTP протоколының жаңа кеңейтімі ұсынылды.
Ақпарат көзі: opennet.ru