Paskelbtas OpenSSH 8.8, atviras kliento ir serverio diegimas, skirtas darbui naudojant SSH 2.0 ir SFTP protokolus, leidimas. Leidimas pastebimas tuo, kad pagal numatytuosius nustatymus išjungiama galimybė naudoti skaitmeninius parašus, pagrįstus RSA raktais su SHA-1 maiša („ssh-rsa“).
„ssh-rsa“ parašų palaikymas nutrūko dėl padidėjusio susidūrimo atakų su nurodytu prefiksu efektyvumo (susidurimo pasirinkimo kaina yra maždaug 50 tūkst. USD). Norėdami išbandyti ssh-rsa naudojimą savo sistemose, galite pabandyti prisijungti per ssh naudodami parinktį „-oHostKeyAlgorithms=-ssh-rsa“. RSA parašų su SHA-256 ir SHA-512 maišais (rsa-sha2-256/512), kurie palaikomi nuo OpenSSH 7.2 versijos, palaikymas nesikeičia.
Daugeliu atvejų, nutraukus „ssh-rsa“ palaikymą, naudotojai nereikės jokių rankinių veiksmų, nes anksčiau OpenSSH pagal numatytuosius nustatymus buvo įjungtas UpdateHostKeys nustatymas, kuris automatiškai perkelia klientus į patikimesnius algoritmus. Perkėlimui protokolo plėtinys "[apsaugotas el. paštu]“, leidžianti serveriui po autentifikavimo informuoti klientą apie visus turimus pagrindinio kompiuterio raktus. Jei prisijungiate prie prieglobos su labai senomis OpenSSH versijomis kliento pusėje, galite pasirinktinai grąžinti galimybę naudoti „ssh-rsa“ parašus, pridėdami prie ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Naujoji versija taip pat išsprendžia saugumo problemą, kurią sukėlė sshd, pradedant OpenSSH 6.2, netinkamai inicijuojant vartotojų grupę, kai vykdomos komandos, nurodytos AuthorizedKeysCommand ir AuthorizedPrincipalsCommand direktyvose. Šios direktyvos turėjo leisti komandas paleisti kitam vartotojui, tačiau iš tikrųjų jos paveldėjo grupių, naudojamų paleidžiant sshd, sąrašą. Galbūt toks elgesys, esant tam tikriems sistemos nustatymams, leido paleistai tvarkyklei įgyti papildomų privilegijų sistemoje.
Naujojoje laidos pastaboje taip pat yra įspėjimas, kad scp pagal numatytuosius nustatymus naudos SFTP, o ne senąjį SCP/RCP protokolą. SFTP naudoja labiau nuspėjamus vardų tvarkymo metodus ir nenaudoja glob modelių apvalkalo apdorojimo failų pavadinimuose kitoje pagrindinio kompiuterio pusėje, todėl kyla saugumo problemų. Visų pirma, naudojant SCP ir RCP, serveris nusprendžia, kuriuos failus ir katalogus siųsti klientui, o klientas tik tikrina grąžinamų objektų pavadinimų teisingumą, o tai, jei nėra tinkamų patikrinimų kliento pusėje, leidžia serverį, kad perduotų kitus failų pavadinimus, kurie skiriasi nuo prašomų. SFTP protokolas neturi šių problemų, tačiau nepalaiko specialių kelių, tokių kaip „~/“, išplėtimo. Siekiant išspręsti šį skirtumą, ankstesniame OpenSSH leidime SFTP serverio diegime buvo pristatytas naujas SFTP protokolo plėtinys ~/ ir ~user/ keliams.
Šaltinis: opennet.ru