PÄc piecu mÄneÅ”u attÄ«stÄ«bas uzrÄdÄ«ts atbrÄ«vot OpenSSH 8.0, atvÄrta klienta un servera ievieÅ”ana darbam, izmantojot SSH 2.0 un SFTP protokolus.
GalvenÄs izmaiÅas:
Ssh un sshd ir pievienots eksperimentÄls atbalsts atslÄgu apmaiÅas metodei, kas ir izturÄ«ga pret brutÄla spÄka uzbrukumiem kvantu datoram. Kvantu datori ir radikÄli ÄtrÄki, lai atrisinÄtu problÄmu, kas saistÄ«ta ar naturÄla skaitļa sadalÄ«Å”anu primÄrajos faktoros, kas ir mÅ«sdienu asimetriskas Å”ifrÄÅ”anas algoritmu pamatÄ un ko nevar efektÄ«vi atrisinÄt klasiskajos procesoros. PiedÄvÄtÄ metode ir balstÄ«ta uz algoritmu NTRU Prime (funkcija ntrup4591761), kas izstrÄdÄta pÄckvantu kriptosistÄmÄm, un eliptiskÄs lÄ«knes atslÄgas apmaiÅas metode X25519;
Sshd direktÄ«vÄ ListenAddress un PermitOpen vairs netiek atbalstÄ«ta mantotÄ āhost/portā sintakse, kas tika ieviesta 2001. gadÄ kÄ alternatÄ«va āhost:portā, lai vienkÄrÅ”otu darbu ar IPv6. MÅ«sdienu apstÄkļos IPv6 ir izveidota sintakse ā[::1]:22ā, un āhost/portā bieži tiek sajaukts ar apakÅ”tÄ«kla (CIDR) norÄdÄ«Å”anu;
ssh, ssh-agent un ssh-add tagad atbalsta atslÄgas ECDSA PKCS#11 žetonos;
ProgrammÄ ssh-keygen noklusÄjuma RSA atslÄgas izmÄrs ir palielinÄts lÄ«dz 3072 bitiem saskaÅÄ ar jaunajiem NIST ieteikumiem;
ssh ļauj izmantot iestatÄ«jumu "PKCS11Provider=none", lai ignorÄtu PKCS11Provider direktÄ«vu, kas norÄdÄ«ta ssh_config;
sshd nodroÅ”ina žurnÄla attÄlojumu situÄcijÄm, kad savienojums tiek pÄrtraukts, mÄÄ£inot izpildÄ«t komandas, kuras bloÄ·Ä sshd_config ierobežojums āForceCommand=internal-sftpā;
ProgrammÄ ssh, parÄdot pieprasÄ«jumu apstiprinÄt jaunas resursdatora atslÄgas pieÅemÅ”anu, atbildes ājÄā vietÄ tagad tiek pieÅemts pareizais atslÄgas pirkstu nospiedums (atbildot uz uzaicinÄjumu apstiprinÄt savienojumu, lietotÄjs var kopÄt atseviŔķi saÅemts atsauces hash, izmantojot starpliktuvi, lai to manuÄli nesalÄ«dzinÄtu);
Scp un sftp ir pievienota jauna opcija "-J", kas ir lÄ«dzvÄrtÄ«ga ProxyJump iestatÄ«jumam;
ProgrammÄ ssh-agent, ssh-pkcs11-helper un ssh-add ir pievienota komandrindas opcijas ā-vā apstrÄde, lai palielinÄtu izvades informÄcijas saturu (ja norÄdÄ«ta, Ŕī opcija tiek nodota pakÄrtotajiem procesiem, piemÄram, kad ssh-pkcs11-helper tiek izsaukts no ssh-agent );
Opcija ā-Tā ir pievienota ssh-add, lai pÄrbaudÄ«tu ssh-agent atslÄgu piemÄrotÄ«bu digitÄlÄ paraksta izveides un verifikÄcijas darbÄ«bu veikÅ”anai;
sftp-server ievieÅ” atbalstu ālsetstat at openssh.comā protokola paplaÅ”inÄjumam, kas pievieno atbalstu SSH2_FXP_SETSTAT darbÄ«bai SFTP, bet bez simboliskÄm saitÄm;
Pievienota opcija "-h" sftp, lai palaistu chown/chgrp/chmod komandas ar pieprasījumiem, kuros netiek izmantotas simboliskas saites;
sshd nodroÅ”ina PAM vides mainÄ«gÄ $SSH_CONNECTION iestatÄ«Å”anu;
Sshd gadÄ«jumÄ ssh_config ir pievienots atbilstÄ«bas režīms āMatch finalā, kas ir lÄ«dzÄ«gs āMatch canonicalā, taÄu nav jÄiespÄjo resursdatora nosaukuma normalizÄcija;
Pievienots sftp prefiksa @ atbalsts, lai atspÄjotu pakeÅ”u režīmÄ izpildÄ«to komandu izvades tulkoÅ”anu;
ParÄdot sertifikÄta saturu, izmantojot komandu
"ssh-keygen -Lf /path/certificate" tagad parÄda algoritmu, ko izmanto CA, lai apstiprinÄtu sertifikÄtu;
Uzlabots atbalsts Cygwin videi, piemÄram, nodroÅ”inot grupu un lietotÄjvÄrdu salÄ«dzinÄjumu, kas nav reÄ£istrjutÄ«gs. Sshd process Cygwin portÄ ir mainÄ«ts uz cygsshd, lai izvairÄ«tos no traucÄjumiem Microsoft nodroÅ”inÄtajÄ OpenSSH portÄ;
Pievienota iespÄja veidot ar eksperimentÄlo OpenSSL 3.x filiÄli;
LikvidÄts ievainojamÄ«ba (CVE-2019-6111) scp utilÄ«ta ievieÅ”anÄ, kas ļauj pÄrrakstÄ«t patvaļīgus mÄrÄ·a direktorijÄ esoÅ”os failus klienta pusÄ, piekļūstot serverim, kuru kontrolÄ uzbrucÄjs. ProblÄma ir tÄda, ka, izmantojot scp, serveris izlemj, kurus failus un direktorijus nosÅ«tÄ«t klientam, un klients pÄrbauda tikai atgriezto objektu nosaukumu pareizÄ«bu. Klienta puses pÄrbaude ir ierobežota, bloÄ·Äjot tikai ceļoÅ”anu Ärpus paÅ”reizÄjÄ direktorija (../), taÄu neÅem vÄrÄ failu pÄrsÅ«tÄ«Å”anu ar nosaukumiem, kas atŔķiras no sÄkotnÄji pieprasÄ«tajiem. RekursÄ«vÄs kopÄÅ”anas (-r) gadÄ«jumÄ papildus failu nosaukumiem lÄ«dzÄ«gÄ veidÄ var manipulÄt arÄ« ar apakÅ”direktoriju nosaukumiem. PiemÄram, ja lietotÄjs kopÄ failus mÄjas direktorijÄ, uzbrucÄja kontrolÄtais serveris var izveidot failus ar nosaukumiem .bash_aliases vai .ssh/authorized_keys pieprasÄ«to failu vietÄ, un tos saglabÄs utilÄ«ta scp lietotÄja failÄ. mÄjas direktorijs.
JaunajÄ versijÄ scp utilÄ«ta ir atjauninÄta, lai pÄrbaudÄ«tu atbilstÄ«bu starp pieprasÄ«tajiem un servera nosÅ«tÄ«tajiem failu nosaukumiem, kas tiek veikts klienta pusÄ. Tas var radÄ«t problÄmas ar masku apstrÄdi, jo maskas paplaÅ”inÄÅ”anas rakstzÄ«mes var tikt apstrÄdÄtas atŔķirÄ«gi servera un klienta pusÄ. Ja Å”Ädu atŔķirÄ«bu dÄļ klients pÄrtrauc pieÅemt failus scp, ir pievienota opcija ā-Tā, lai atspÄjotu klienta puses pÄrbaudi. Lai pilnÄ«bÄ novÄrstu problÄmu, ir nepiecieÅ”ama scp protokola konceptuÄla pÄrstrÄde, kas pats par sevi jau ir novecojis, tÄpÄc tÄ vietÄ ieteicams izmantot modernÄkus protokolus, piemÄram, sftp un rsync.