Predstavljena je bila izdaja OpenSSH 9.0, odprte izvedbe odjemalca in strežnika za delo s protokoloma SSH 2.0 in SFTP. V novi različici je bil pripomoček scp privzeto preklopljen na uporabo SFTP namesto zastarelega protokola SCP/RCP.
SFTP uporablja bolj predvidljive metode ravnanja z imeni in ne uporablja lupinske obdelave vzorcev glob v imenih datotek na strani drugega gostitelja, kar povzroča varnostne težave. Zlasti pri uporabi SCP in RCP se strežnik odloči, katere datoteke in imenike bo poslal odjemalcu, odjemalec pa samo preveri pravilnost vrnjenih imen objektov, kar v odsotnosti ustreznih preverjanj na strani odjemalca omogoča strežnik za prenos drugih imen datotek, ki se razlikujejo od zahtevanih.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[e-pošta zaščitena]", da razširite poti ~/ in ~user/.
Pri uporabi SFTP lahko uporabniki naletijo tudi na nezdružljivost, ki jo povzroča potreba po dvojnem ubežanju posebnih razširitvenih znakov poti v zahtevah SCP in RCP, da se prepreči njihova interpretacija s strani oddaljene strani. V SFTP takšno uhajanje ni potrebno in dodatni narekovaji lahko povzročijo napako pri prenosu podatkov. Hkrati so razvijalci OpenSSH zavrnili dodajanje razširitve za ponovitev vedenja scp v tem primeru, zato se dvojno uhajanje šteje za napako, ki je ni smiselno ponavljati.
Druge spremembe v novi izdaji:
- Ssh in sshd imata privzeto omogočen hibridni algoritem za izmenjavo ključev "[e-pošta zaščitena]"(ECDH/x25519 + NTRU Prime), odporen na izbiranje kvantnih računalnikov in v kombinaciji z ECDH/x25519 blokira morebitne težave v NTRU Prime, ki se lahko pojavijo v prihodnosti. Na seznamu KexAlgorithms, ki določa vrstni red izbire metod izmenjave ključev, je omenjeni algoritem zdaj postavljen na prvo mesto in ima višjo prioriteto od algoritmov ECDH in DH.
Kvantni računalniki še niso dosegli ravni razbijanja tradicionalnih ključev, vendar bo uporaba hibridne varnosti zaščitila uporabnike pred napadi, ki vključujejo shranjevanje prestreženih sej SSH v upanju, da jih bo mogoče dešifrirati v prihodnosti, ko bodo na voljo potrebni kvantni računalniki.
- Sftp-strežniku je bila dodana razširitev »copy-data«, ki vam omogoča kopiranje podatkov na strani strežnika, ne da bi jih posredovali odjemalcu, če sta izvorna in ciljna datoteka na istem strežniku.
- Ukaz "cp" je bil dodan pripomočku sftp, da odjemalcu omogoči kopiranje datotek na strani strežnika.
Vir: opennet.ru