Na vijf maanden ontwikkeling релиз , een open client- en serverimplementatie voor het werken via de SSH 2.0- en SFTP-protocollen.
Grote veranderingen:
- Experimentele ondersteuning voor een sleuteluitwisselingsmethode die bestand is tegen brute-force-aanvallen op een kwantumcomputer is toegevoegd aan ssh en sshd. Kwantumcomputers zijn radicaal sneller in het oplossen van het probleem van het ontbinden van een natuurlijk getal in priemfactoren, dat ten grondslag ligt aan moderne asymmetrische encryptie-algoritmen en niet effectief kan worden opgelost op klassieke processors. De voorgestelde methode is gebaseerd op het algoritme (functie ntrup4591761), ontwikkeld voor post-kwantum cryptosystemen, en de elliptische curve-sleuteluitwisselingsmethode X25519;
- In sshd ondersteunen de richtlijnen ListenAddress en PermitOpen niet langer de oude "host/port"-syntaxis, die in 2001 werd geïmplementeerd als alternatief voor "host:port" om het werken met IPv6 te vereenvoudigen. In moderne omstandigheden is de syntaxis “[::6]:1” vastgesteld voor IPv22, en “host/poort” wordt vaak verward met het aangeven van het subnet (CIDR);
- ssh, ssh-agent en ssh-add ondersteunen nu sleutels in PKCS#11-tokens;
- In ssh-keygen is de standaard RSA-sleutelgrootte vergroot naar 3072 bits, in overeenstemming met nieuwe NIST-aanbevelingen;
- ssh staat het gebruik van de instelling "PKCS11Provider=none" toe om de PKCS11Provider-richtlijn gespecificeerd in ssh_config te overschrijven;
- sshd biedt een logweergave van situaties waarin de verbinding wordt verbroken bij een poging om opdrachten uit te voeren die zijn geblokkeerd door de beperking “ForceCommand=internal-sftp” in sshd_config;
- Wanneer in ssh een verzoek wordt weergegeven om de acceptatie van een nieuwe hostsleutel te bevestigen, in plaats van het “ja”-antwoord, wordt nu de juiste vingerafdruk van de sleutel geaccepteerd (in reactie op de uitnodiging om de verbinding te bevestigen, kan de gebruiker de afzonderlijk ontvangen referentie-hash via het klembord, om deze niet handmatig te vergelijken);
- ssh-keygen zorgt voor automatische verhoging van het certificaatvolgnummer bij het maken van digitale handtekeningen voor meerdere certificaten op de opdrachtregel;
- Er is een nieuwe optie "-J" toegevoegd aan scp en sftp, gelijk aan de ProxyJump-instelling;
- In ssh-agent, ssh-pkcs11-helper en ssh-add is verwerking van de opdrachtregeloptie “-v” toegevoegd om de informatie-inhoud van de uitvoer te vergroten (indien gespecificeerd, wordt deze optie doorgegeven aan onderliggende processen, bijvoorbeeld bijvoorbeeld wanneer ssh-pkcs11-helper wordt aangeroepen vanuit ssh-agent );
- De optie “-T” is toegevoegd aan ssh-add om de geschiktheid van sleutels in ssh-agent te testen voor het uitvoeren van bewerkingen voor het maken en verifiëren van digitale handtekeningen;
- sftp-server implementeert ondersteuning voor de protocolextensie “lsetstat at openssh.com”, die ondersteuning toevoegt voor de SSH2_FXP_SETSTAT-bewerking voor SFTP, maar zonder het volgen van symbolische links;
- Toegevoegd "-h" optie aan sftp om chown/chgrp/chmod commando's uit te voeren met verzoeken die geen symbolische links gebruiken;
- sshd biedt instelling van de omgevingsvariabele $SSH_CONNECTION voor PAM;
- Voor sshd is een matching-modus “Match final” toegevoegd aan ssh_config, die vergelijkbaar is met “Match canonical”, maar waarvoor geen normalisatie van de hostnaam is ingeschakeld;
- Ondersteuning toegevoegd voor het voorvoegsel '@' naar sftp om de vertaling van de uitvoer van opdrachten uitgevoerd in batchmodus uit te schakelen;
- Wanneer u de inhoud van een certificaat weergeeft met behulp van de opdracht
"ssh-keygen -Lf /path/certificate" geeft nu het algoritme weer dat door de CA wordt gebruikt om het certificaat te valideren; - Verbeterde ondersteuning voor de Cygwin-omgeving, bijvoorbeeld door hoofdletterongevoelige vergelijking van groeps- en gebruikersnamen. Het sshd-proces in de Cygwin-poort is gewijzigd in cygsshd om interferentie met de door Microsoft geleverde OpenSSH-poort te voorkomen;
- De mogelijkheid toegevoegd om te bouwen met de experimentele OpenSSL 3.x-tak;
- Uitgeschakeld (CVE-2019-6111) bij de implementatie van het scp-hulpprogramma, waarmee willekeurige bestanden in de doelmap aan de clientzijde kunnen worden overschreven bij toegang tot een server die wordt beheerd door een aanvaller. Het probleem is dat bij gebruik van scp de server beslist welke bestanden en mappen naar de client worden verzonden, en dat de client alleen de juistheid van de geretourneerde objectnamen controleert. De controle aan de clientzijde is beperkt tot het blokkeren van reizen buiten de huidige map (“../”), maar houdt geen rekening met de overdracht van bestanden met andere namen dan de oorspronkelijk aangevraagde namen. In het geval van recursief kopiëren (-r) kunt u naast de bestandsnamen ook de namen van submappen op een vergelijkbare manier manipuleren. Als de gebruiker bijvoorbeeld bestanden naar de thuismap kopieert, kan de door de aanvaller gecontroleerde server bestanden produceren met de namen .bash_aliases of .ssh/authorized_keys in plaats van de gevraagde bestanden, en deze worden door het scp-hulpprogramma opgeslagen in de map van de gebruiker. thuismap.
In de nieuwe release is het scp-hulpprogramma bijgewerkt om de overeenkomst tussen de opgevraagde bestandsnamen en de door de server verzonden bestandsnamen te controleren, wat aan de clientzijde wordt uitgevoerd. Dit kan problemen veroorzaken bij de maskerverwerking, omdat maskeruitbreidingstekens verschillend kunnen worden verwerkt op de server- en clientzijde. In het geval dat dergelijke verschillen ertoe leiden dat de client stopt met het accepteren van bestanden in scp, is de optie “-T” toegevoegd om controle aan de clientzijde uit te schakelen. Om het probleem volledig te corrigeren is een conceptuele herwerking van het scp-protocol vereist, dat zelf al verouderd is. Daarom wordt aanbevolen om in plaats daarvan modernere protocollen zoals sftp en rsync te gebruiken.
Bron: opennet.ru