Ir publicēts OpenSSH 8.8 laidiens, atvērta klienta un servera ieviešana darbam, izmantojot SSH 2.0 un SFTP protokolus. Izlaidums ir ievērojams ar to, ka pēc noklusējuma ir atspējota iespēja izmantot ciparparakstus, kuru pamatā ir RSA atslēgas ar SHA-1 jaucējkrānu (“ssh-rsa”).
“ssh-rsa” parakstu atbalsta pārtraukšana ir saistīta ar paaugstinātu sadursmes uzbrukumu efektivitāti ar noteiktu prefiksu (sadursmes atlases izmaksas tiek lēstas aptuveni 50 tūkstošu USD apmērā). Lai pārbaudītu ssh-rsa izmantošanu savās sistēmās, varat mēģināt izveidot savienojumu, izmantojot ssh, izmantojot opciju “-oHostKeyAlgorithms=-ssh-rsa”. Atbalsts RSA parakstiem ar SHA-256 un SHA-512 jaucējiem (rsa-sha2-256/512), kas tiek atbalstīti kopš OpenSSH 7.2, paliek nemainīgs.
Vairumā gadījumu, lai pārtrauktu “ssh-rsa” atbalstu, lietotājiem nebūs jāveic nekādas manuālas darbības, jo iepriekš OpenSSH pēc noklusējuma bija iespējots iestatījums UpdateHostKeys, kas automātiski migrē klientus uz uzticamākiem algoritmiem. Migrācijai protokola paplašinājums "[e-pasts aizsargāts]", ļaujot serverim pēc autentifikācijas informēt klientu par visām pieejamajām resursdatora atslēgām. Ja tiek izveidots savienojums ar saimniekdatoriem ar ļoti vecām OpenSSH versijām klienta pusē, varat selektīvi atgriezt iespēju izmantot “ssh-rsa” parakstus, pievienojot ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Jaunā versija arī atrisina drošības problēmu, ko izraisa sshd, sākot ar OpenSSH 6.2, nepareizi inicializējot lietotāju grupu, izpildot komandas, kas norādītas direktīvās AuthorizedKeysCommand un AuthorizedPrincipalsCommand. Šīm direktīvām vajadzēja ļaut komandas izpildīt citam lietotājam, taču patiesībā tās pārņēma sshd palaišanas laikā izmantoto grupu sarakstu. Iespējams, šī rīcība noteiktu sistēmas iestatījumu klātbūtnē ļāva palaistajam apdarinātājam iegūt papildu privilēģijas sistēmā.
Jaunajā izlaiduma piezīmē ir arī brīdinājums, ka scp pēc noklusējuma izmantos SFTP, nevis mantoto SCP/RCP protokolu. SFTP izmanto paredzamākas nosaukumu apstrādes metodes un neizmanto globu modeļu čaulas apstrādi failu nosaukumos otra resursdatora pusē, kas rada drošības problēmas. Jo īpaši, izmantojot SCP un RCP, serveris izlemj, kurus failus un direktorijus nosūtīt klientam, un klients pārbauda tikai atgriezto objektu nosaukumu pareizību, kas, ja klienta pusē nav veiktas atbilstošas pārbaudes, ļauj serveri, lai pārsūtītu citus failu nosaukumus, kas atšķiras no pieprasītajiem. SFTP protokolam šīs problēmas nav, taču tas neatbalsta īpašu ceļu, piemēram, “~/”, paplašināšanu. Lai novērstu šo atšķirību, iepriekšējā OpenSSH laidienā tika ieviests jauns SFTP protokola paplašinājums ~/ un ~user/ ceļiem SFTP servera ieviešanā.
Avots: opennet.ru