Zaprezentowano wydanie OpenSSH 9.0, otwartej implementacji klienta i serwera do pracy z wykorzystaniem protokołów SSH 2.0 i SFTP. W nowej wersji narzędzie scp zostało domyślnie przełączone na używanie SFTP zamiast przestarzałego protokołu SCP/RCP.
Protokół SFTP wykorzystuje bardziej przewidywalne metody obsługi nazw i nie wykorzystuje przetwarzania powłoki wzorców glob w nazwach plików po stronie drugiego hosta, co stwarza problemy związane z bezpieczeństwem. W szczególności w przypadku korzystania z SCP i RCP serwer decyduje, które pliki i katalogi wysłać do klienta, a klient jedynie sprawdza poprawność zwracanych nazw obiektów, co w przypadku braku odpowiednich kontroli po stronie klienta pozwala na serwerowi do przesyłania innych nazw plików, różniących się od żądanych.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[email chroniony]", aby rozwinąć ścieżki ~/ i ~user/.
Podczas korzystania z protokołu SFTP użytkownicy mogą również napotkać niezgodności spowodowane koniecznością podwójnej ucieczki znaków specjalnych rozszerzenia ścieżki w żądaniach SCP i RCP, aby zapobiec ich interpretacji przez stronę zdalną. W SFTP taka ucieczka nie jest wymagana, a dodatkowe cudzysłowy mogą prowadzić do błędu przesyłania danych. Jednocześnie twórcy OpenSSH odmówili dodania rozszerzenia replikującego zachowanie scp w tym przypadku, więc podwójna ucieczka jest uważana za wadę, której nie ma sensu powtarzać.
Inne zmiany w nowej wersji:
- Ssh i sshd mają domyślnie włączony algorytm hybrydowej wymiany kluczy „[email chroniony]"(ECDH/x25519 + NTRU Prime), odporny na przechwytywanie na komputerach kwantowych i w połączeniu z ECDH/x25519 w celu blokowania ewentualnych problemów w NTRU Prime, które mogą pojawić się w przyszłości. Na liście KexAlgorithms, która określa kolejność wybierania metod wymiany kluczy, wspomniany algorytm jest teraz umieszczony na pierwszym miejscu i ma wyższy priorytet niż algorytmy ECDH i DH.
Komputery kwantowe nie osiągnęły jeszcze poziomu łamania tradycyjnych kluczy, ale zastosowanie zabezpieczeń hybrydowych ochroni użytkowników przed atakami polegającymi na przechowywaniu przechwyconych sesji SSH w nadziei, że uda się je w przyszłości odszyfrować, gdy dostępne będą niezbędne komputery kwantowe.
- Do serwera sftp-server dodano rozszerzenie „copy-data”, które umożliwia kopiowanie danych po stronie serwera, bez przesyłania ich do klienta, jeśli pliki źródłowe i docelowe znajdują się na tym samym serwerze.
- Do narzędzia sftp dodano polecenie „cp”, aby zainicjować klienta do kopiowania plików po stronie serwera.
Źródło: opennet.ru