Bolo predstavené vydanie OpenSSH 9.0, otvorenej implementácie klienta a servera pre prácu s protokolmi SSH 2.0 a SFTP. V novej verzii bola utilita scp štandardne prepnutá na používanie SFTP namiesto zastaraného protokolu SCP/RCP.
SFTP používa predvídateľnejšie metódy spracovania názvov a nepoužíva shellové spracovanie vzorov glob v názvoch súborov na strane druhého hostiteľa, čo vytvára bezpečnostné problémy. Najmä pri použití SCP a RCP server rozhodne, ktoré súbory a adresáre pošle klientovi, a klient iba skontroluje správnosť vrátených názvov objektov, čo pri absencii riadnych kontrol na strane klienta umožňuje server preniesť iné názvy súborov, ktoré sa líšia od požadovaných.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[chránené e-mailom]" na rozšírenie ciest ~/ a ~user/.
Pri používaní SFTP sa používatelia môžu stretnúť aj s nekompatibilitou spôsobenou potrebou dvojitého escapovania špeciálnych znakov cesty v požiadavkách SCP a RCP, aby sa zabránilo ich interpretácii vzdialenou stranou. V SFTP sa takéto escapovanie nevyžaduje a nadbytočné úvodzovky môžu viesť k chybe prenosu údajov. Vývojári OpenSSH zároveň odmietli pridať rozšírenie na replikáciu správania scp v tomto prípade, takže dvojitý únik je považovaný za chybu, ktorú nemá zmysel opakovať.
Ďalšie zmeny v novom vydaní:
- Ssh a sshd majú v predvolenom nastavení povolený hybridný algoritmus výmeny kľúčov "[chránené e-mailom]"(ECDH/x25519 + NTRU Prime), odolný voči vyberaniu na kvantových počítačoch a v kombinácii s ECDH/x25519 na blokovanie možných problémov v NTRU Prime, ktoré sa môžu objaviť v budúcnosti. V zozname KexAlgorithms, ktorý určuje poradie výberu metód výmeny kľúčov, je teraz uvedený algoritmus na prvom mieste a má vyššiu prioritu ako algoritmy ECDH a DH.
Kvantové počítače ešte nedosiahli úroveň lámania tradičných kľúčov, ale použitie hybridného zabezpečenia ochráni používateľov pred útokmi, ktoré zahŕňajú ukladanie zachytených relácií SSH v nádeji, že ich bude možné dešifrovať v budúcnosti, keď budú dostupné potrebné kvantové počítače.
- Do sftp-server bolo pridané rozšírenie „copy-data“, ktoré vám umožňuje kopírovať údaje na strane servera bez ich prenosu na klienta, ak sú zdrojové a cieľové súbory na rovnakom serveri.
- Príkaz "cp" bol pridaný do pomocného programu sftp, ktorý iniciuje klientovi kopírovanie súborov na strane servera.
Zdroj: opennet.ru