Po piatich mesiacoch vývoja uvoľnenie , otvorená implementácia klienta a servera pre prácu cez protokoly SSH 2.0 a SFTP.
Hlavné zmeny:
- Do ssh a sshd bola pridaná experimentálna podpora pre metódu výmeny kľúčov, ktorá je odolná voči útokom hrubou silou na kvantovom počítači. Kvantové počítače sú radikálne rýchlejšie pri riešení problému rozkladu prirodzeného čísla na prvočísla, čo je základom moderných asymetrických šifrovacích algoritmov a nedá sa efektívne vyriešiť na klasických procesoroch. Navrhovaná metóda je založená na algoritme (funkcia ntrup4591761), vyvinutá pre postkvantové kryptosystémy, a metóda výmeny kľúčov eliptickej krivky X25519;
- Direktívy ListenAddress a PermitOpen v sshd už nepodporujú starú syntax „host/port“, ktorá bola implementovaná v roku 2001 ako alternatíva k „host:port“ na zjednodušenie práce s IPv6. V moderných podmienkach bola pre IPv6 zavedená syntax „[::1]:22“ a „hostiteľ/port“ sa často zamieňa s označením podsiete (CIDR);
- ssh, ssh-agent a ssh-add teraz podporujú kľúče v tokenoch PKCS#11;
- V ssh-keygen sa predvolená veľkosť kľúča RSA zvýšila na 3072 bitov v súlade s novými odporúčaniami NIST;
- ssh umožňuje použitie nastavenia "PKCS11Provider=none" na prepísanie direktívy PKCS11Provider uvedenej v ssh_config;
- sshd poskytuje zobrazenie protokolu situácií, keď sa spojenie ukončí pri pokuse o vykonanie príkazov blokovaných obmedzením „ForceCommand=internal-sftp“ v sshd_config;
- V ssh sa pri zobrazení požiadavky na potvrdenie prijatia nového hostiteľského kľúča namiesto odpovede „áno“ teraz akceptuje správny odtlačok kľúča (ako odpoveď na výzvu na potvrdenie pripojenia môže používateľ skopírovať samostatne prijatý referenčný hash cez schránku, aby sa neporovnával manuálne);
- ssh-keygen poskytuje automatické zvyšovanie poradového čísla certifikátu pri vytváraní digitálnych podpisov pre viacero certifikátov na príkazovom riadku;
- Do scp a sftp bola pridaná nová voľba "-J", ekvivalentná nastaveniu ProxyJump;
- V ssh-agent, ssh-pkcs11-helper a ssh-add bolo pridané spracovanie voľby príkazového riadka „-v“, aby sa zvýšil informačný obsah výstupu (ak je táto voľba špecifikovaná, odovzdá sa podriadeným procesom, napr. napríklad, keď je ssh-pkcs11-helper volaný z ssh-agent );
- Voľba „-T“ bola pridaná do ssh-add na testovanie vhodnosti kľúčov v ssh-agent na vykonávanie operácií vytvárania a overovania digitálneho podpisu;
- sftp-server implementuje podporu pre rozšírenie protokolu „lsetstat at openssh.com“, ktoré pridáva podporu pre operáciu SSH2_FXP_SETSTAT pre SFTP, ale bez nasledujúcich symbolických odkazov;
- Pridaná možnosť "-h" do sftp na spustenie príkazov chown/chgrp/chmod s požiadavkami, ktoré nepoužívajú symbolické odkazy;
- sshd poskytuje nastavenie premennej prostredia $SSH_CONNECTION pre PAM;
- Pre sshd bol do ssh_config pridaný režim zhody „Match final“, ktorý je podobný „Match canonical“, ale nevyžaduje povolenie normalizácie názvu hostiteľa;
- Pridaná podpora pre predponu '@' do sftp na zakázanie prekladu výstupu príkazov vykonávaných v dávkovom režime;
- Keď zobrazíte obsah certifikátu pomocou príkazu
"ssh-keygen -Lf /path/certificate" teraz zobrazuje algoritmus, ktorý používa CA na overenie certifikátu; - Vylepšená podpora pre prostredie Cygwin, napríklad poskytovanie porovnávania skupín a mien používateľov bez ohľadu na veľkosť písmen. Proces sshd v porte Cygwin bol zmenený na cygsshd, aby sa zabránilo interferencii s portom OpenSSH dodávaným spoločnosťou Microsoft;
- Pridaná možnosť budovania s experimentálnou vetvou OpenSSL 3.x;
- Eliminovaný (CVE-2019-6111) v implementácii utility scp, ktorá umožňuje prepísanie ľubovoľných súborov v cieľovom adresári na strane klienta pri prístupe na server kontrolovaný útočníkom. Problém je v tom, že pri použití scp server rozhoduje, ktoré súbory a adresáre pošle klientovi a klient iba kontroluje správnosť vrátených názvov objektov. Kontrola na strane klienta sa obmedzuje iba na blokovanie presunu za aktuálny adresár („../“), ale neberie do úvahy prenos súborov s názvami odlišnými od pôvodne požadovaných. V prípade rekurzívneho kopírovania (-r) môžete podobným spôsobom okrem názvov súborov manipulovať aj s názvami podadresárov. Ak napríklad používateľ skopíruje súbory do domovského adresára, server ovládaný útočníkom môže namiesto požadovaných súborov vytvoriť súbory s názvami .bash_aliases alebo .ssh/authorized_keys a tieto budú uložené pomocou nástroja scp v používateľskom domovský adresár.
V novom vydaní bol obslužný program scp aktualizovaný, aby skontroloval súlad medzi požadovanými názvami súborov a názvami odoslanými serverom, čo sa vykonáva na strane klienta. To môže spôsobiť problémy so spracovaním masky, pretože znaky rozšírenia masky môžu byť spracované odlišne na strane servera a klienta. V prípade, že takéto rozdiely spôsobia, že klient prestane akceptovať súbory v scp, bola pridaná možnosť „-T“, ktorá zakáže kontrolu na strane klienta. Na úplné odstránenie problému je potrebné koncepčné prepracovanie protokolu scp, ktorý je sám o sebe už zastaraný, preto sa odporúča použiť namiesto neho modernejšie protokoly ako sftp a rsync.
Zdroj: opennet.ru