Pristatytas OpenSSH 9.0, atviras kliento ir serverio diegimas, skirtas darbui naudojant SSH 2.0 ir SFTP protokolus, leidimas. Naujoje versijoje scp programa pagal numatytuosius nustatymus buvo perjungta, kad vietoj pasenusio SCP/RCP protokolo būtų naudojamas SFTP.
SFTP naudoja labiau nuspėjamus vardų tvarkymo metodus ir nenaudoja glob modelių apvalkalo apdorojimo failų pavadinimuose kitoje pagrindinio kompiuterio pusėje, todėl kyla saugumo problemų. Visų pirma, naudojant SCP ir RCP, serveris nusprendžia, kuriuos failus ir katalogus siųsti klientui, o klientas tik tikrina grąžinamų objektų pavadinimų teisingumą, o tai, jei nėra tinkamų patikrinimų kliento pusėje, leidžia serverį, kad perduotų kitus failų pavadinimus, kurie skiriasi nuo prašomų.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[apsaugotas el. paštu]" norėdami išplėsti ~/ ir ~user/ kelius.
Naudodami SFTP, vartotojai taip pat gali susidurti su nesuderinamumu, kurį sukelia poreikis du kartus pašalinti specialius kelio išplėtimo simbolius SCP ir RCP užklausose, kad būtų išvengta jų interpretavimo nuotoliniu būdu. SFTP toks pašalinimas nereikalingas, o papildomos kabutės gali sukelti duomenų perdavimo klaidą. Tuo pačiu metu OpenSSH kūrėjai atsisakė pridėti plėtinį, kad atkartotų scp elgesį šiuo atveju, todėl dvigubas pabėgimas laikomas trūkumu, kurio kartoti nėra prasmės.
Kiti naujojo leidimo pakeitimai:
- Ssh ir sshd turi hibridinį raktų mainų algoritmą, įgalintą pagal numatytuosius nustatymus "[apsaugotas el. paštu](ECDH/x25519 + NTRU Prime), atsparus kvantiniams kompiuteriams ir kartu su ECDH/x25519 blokuoja galimas NTRU Prime problemas, kurios gali kilti ateityje. KexAlgoritmų sąraše, kuriame nustatoma, kokia tvarka pasirenkami raktų mainų metodai, minėtas algoritmas dabar yra pirmoje vietoje ir turi didesnį prioritetą nei ECDH ir DH algoritmai.
Kvantiniai kompiuteriai dar nepasiekė tradicinių raktų nulaužimo lygio, tačiau hibridinio saugumo naudojimas apsaugos vartotojus nuo atakų, susijusių su perimtų SSH seansų saugojimu, tikintis, kad ateityje, kai atsiras reikiami kvantiniai kompiuteriai, juos bus galima iššifruoti.
- Plėtinys „copy-data“ buvo pridėtas prie sftp-server, kuris leidžia kopijuoti duomenis serverio pusėje, neperduodant jų į klientą, jei šaltinio ir tiksliniai failai yra tame pačiame serveryje.
- Komanda „cp“ buvo pridėta prie sftp paslaugų programos, kad klientas būtų pradėtas kopijuoti failus serverio pusėje.
Šaltinis: opennet.ru