Ġie ppubblikat ir-rilaxx ta 'OpenSSH 8.8, implimentazzjoni miftuħa ta' klijent u server għax-xogħol bl-użu tal-protokolli SSH 2.0 u SFTP. Ir-rilaxx huwa notevoli għad-diżattivazzjoni awtomatika tal-kapaċità li tuża firem diġitali bbażati fuq ċwievet RSA b'shash SHA-1 ("ssh-rsa").
Il-waqfien tal-appoġġ għall-firem "ssh-rsa" huwa dovut għaż-żieda fl-effiċjenza tal-attakki ta 'ħabta bi prefiss partikolari (l-ispiża tal-għażla ta' ħabta hija stmata għal madwar $ 50 elf). Biex tittestja l-użu ta 'ssh-rsa fis-sistemi tiegħek, tista' tipprova tikkonnettja permezz ta 'ssh bl-għażla "-oHostKeyAlgorithms=-ssh-rsa". L-appoġġ għall-firem RSA b'shashes SHA-256 u SHA-512 (rsa-sha2-256/512), li ilhom appoġġjati minn OpenSSH 7.2, jibqa' l-istess.
Fil-biċċa l-kbira tal-każijiet, it-twaqqif tal-appoġġ għal "ssh-rsa" ma jeħtieġ ebda azzjoni manwali mill-utenti, peress li OpenSSH qabel kellu l-issettjar UpdateHostKeys attivat awtomatikament, li awtomatikament jemigra lill-klijenti għal algoritmi aktar affidabbli. Għall-migrazzjoni, l-estensjoni tal-protokoll "[protett bl-email]", li jippermetti lis-server, wara l-awtentikazzjoni, jinforma lill-klijent dwar iċ-ċwievet kollha tal-host disponibbli. Fil-każ ta’ konnessjoni ma’ hosts b’verżjonijiet antiki ħafna ta’ OpenSSH fuq in-naħa tal-klijent, tista’ b’mod selettiv tirritorna l-abbiltà li tuża firem “ssh-rsa” billi żżid ma’ ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Il-verżjoni l-ġdida ssolvi wkoll kwistjoni ta' sigurtà kkawżata minn sshd, li tibda b'OpenSSH 6.2, ma tinizjalizzax sew il-grupp ta' utenti meta tesegwixxi kmandi speċifikati fid-direttivi AuthorizedKeysCommand u AuthorizedPrincipalsCommand. Dawn id-direttivi kellhom jippermettu li l-kmandi jitmexxew taħt utent differenti, iżda fil-fatt wirtu l-lista ta’ gruppi użati meta jmexxu sshd. Potenzjalment, din l-imġieba, fil-preżenza ta 'ċerti settings tas-sistema, ippermettiet lill-handler imniedi biex jikseb privileġġi addizzjonali fuq is-sistema.
In-nota ta 'rilaxx il-ġdida tinkludi wkoll twissija li scp se default għal SFTP minflok il-protokoll SCP/RCP tal-legat. SFTP juża metodi aktar prevedibbli għall-immaniġġjar tal-ismijiet u ma jużax l-ipproċessar tal-qoxra ta 'mudelli glob fl-ismijiet tal-fajls fuq in-naħa tal-host l-ieħor, li joħloq problemi ta' sigurtà. B'mod partikolari, meta tuża SCP u RCP, is-server jiddeċiedi liema fajls u direttorji għandu jibgħat lill-klijent, u l-klijent jiċċekkja biss il-korrettezza tal-ismijiet tal-oġġetti rritornati, li, fin-nuqqas ta 'kontrolli xierqa fuq in-naħa tal-klijent, jippermetti l- server biex jittrasferixxi ismijiet ta’ fajls oħra li huma differenti minn dawk mitluba. Il-protokoll SFTP m'għandux dawn il-problemi, iżda ma jappoġġjax l-espansjoni ta 'mogħdijiet speċjali bħal "~/". Biex tindirizza din id-differenza, ir-rilaxx preċedenti ta 'OpenSSH introduċa estensjoni ġdida tal-protokoll SFTP għall-mogħdijiet ~/ u ~user/ fl-implimentazzjoni tas-server SFTP.
Sors: opennet.ru