ПроХостер > блог > интернет вести > ОпенССХ 8.0 издање

ОпенССХ 8.0 издање

После пет месеци развоја представљени издање ОпенССХ КСНУМКС, имплементација отвореног клијента и сервера за рад преко ССХ 2.0 и СФТП протокола.

Главне промене:

  • Експериментална подршка за методу размене кључева која је отпорна на нападе грубом силом на квантни рачунар додата је у ссх и ссхд. Квантни рачунари су радикално бржи у решавању проблема декомпозиције природног броја на просте факторе, што лежи у основи савремених асиметричних алгоритама шифровања и не може се ефикасно решити на класичним процесорима. Предложени метод је заснован на алгоритму НТРУ Приме (функција нтруп4591761), развијена за пост-квантне криптосистеме, и метод размене кључева елиптичке криве Кс25519;
  • У ссхд, ЛистенАддресс и ПермитОпен директиве више не подржавају застарелу "хост/порт" синтаксу, која је имплементирана 2001. године као алтернатива "хост:порт" да би се поједноставио рад са ИПв6. У савременим условима, синтакса „[::6]:1” је успостављена за ИПв22, а „хост/порт” се често меша са означавањем подмреже (ЦИДР);
  • ссх, ссх-агент и ссх-адд сада подржавају кључеве ЕЦДСА у токенима ПКЦС#11;
  • У ссх-кеиген-у, подразумевана величина РСА кључа је повећана на 3072 бита, у складу са новим препорукама НИСТ-а;
  • ссх дозвољава коришћење поставке "ПКЦС11Провидер=ноне" да би се заменила директива ПКЦС11Провидер наведена у ссх_цонфиг;
  • ссхд обезбеђује приказ евиденције ситуација када је веза прекинута приликом покушаја извршења команди блокираних ограничењем „ФорцеЦомманд=интернал-сфтп“ у ссхд_цонфиг;
  • У ссх-у, када се прикаже захтев за потврду прихватања новог кључа домаћина, уместо одговора „да“, сада се прихвата исправан отисак кључа (као одговор на позив да потврди везу, корисник може да копира одвојено примљен референтни хеш преко међуспремника, како га не би ручно упоређивао);
  • ссх-кеиген обезбеђује аутоматско повећање редног броја сертификата приликом креирања дигиталних потписа за више сертификата на командној линији;
  • Нова опција "-Ј" је додата у сцп и сфтп, што је еквивалентно поставци ПрокиЈумп;
  • У ссх-агент, ссх-пкцс11-хелпер и ссх-адд, додата је обрада опције командне линије „-в“ да би се повећао садржај информација у излазу (када је наведена, ова опција се преноси на подређене процесе, за на пример, када се ссх-пкцс11-хелпер позове из ссх-агент-а);
  • Опција “-Т” је додата у ссх-адд ради тестирања подобности кључева у ссх-агенту за обављање операција креирања и верификације дигиталног потписа;
  • сфтп-сервер имплементира подршку за екстензију протокола „лсетстат ат опенссх.цом“, која додаје подршку за операцију ССХ2_ФКСП_СЕТСТАТ за СФТП, али без праћења симболичких веза;
  • Додата опција "-х" у сфтп за покретање цховн/цхгрп/цхмод команди са захтевима који не користе симболичке везе;
  • ссхд обезбеђује подешавање променљиве окружења $ССХ_ЦОННЕЦТИОН за ПАМ;
  • За ссхд, режим подударања „Матцх финал“ је додат у ссх_цонфиг, који је сличан „Матцх цаноницал“, али не захтева да се омогући нормализација имена хоста;
  • Додата подршка за '@' префикс за сфтп за онемогућавање превођења излаза команди које се извршавају у групном режиму;
  • Када прикажете садржај сертификата помоћу команде
    "ссх-кеиген -Лф /патх/цертифицате" сада приказује алгоритам који ЦА користи за валидацију сертификата;

  • Побољшана подршка за Цигвин окружење, на пример пружање поређења групних и корисничких имена без обзира на велика и мала слова. Ссхд процес у Цигвин порту је промењен у цигссхд да би се избегле сметње са ОпенССХ портом који је обезбедио Мицрософт;
  • Додата могућност изградње са експерименталном граном ОпенССЛ 3.к;
  • Елиминисано рањивост (ЦВЕ-2019-6111) у имплементацији услужног програма сцп, који омогућава да се произвољне датотеке у циљном директоријуму преписују на страни клијента када се приступа серверу који контролише нападач. Проблем је у томе што када се користи сцп, сервер одлучује које датотеке и директоријуме ће послати клијенту, а клијент само проверава тачност враћених имена објеката. Провера на страни клијента је ограничена само на блокирање путовања изван тренутног директоријума (../”), али не узима у обзир пренос датотека са називима другачијим од првобитно захтеваних. У случају рекурзивног копирања (-р), поред имена датотека, на сличан начин можете манипулисати и именима поддиректоријума. На пример, ако корисник копира датотеке у кућни директоријум, сервер који контролише нападач може да произведе датотеке са именима .басх_алиасес или .ссх/аутхоризед_кеис уместо захтеваних датотека, а сцп услужни програм ће их сачувати у корисниковом кућни именик.

    У новом издању, сцп услужни програм је ажуриран да проверава кореспонденцију између захтеваних имена датотека и оних које шаље сервер, што се обавља на страни клијента. Ово може да изазове проблеме са обрадом маске, пошто знакови за проширење маске могу бити различито обрађени на страни сервера и клијента. У случају да такве разлике доведу до тога да клијент престане да прихвата датотеке у сцп-у, додата је опција „-Т“ да онемогући проверу на страни клијента. Да би се проблем у потпуности решио, потребна је концептуална прерада сцп протокола, који је сам по себи већ застарео, па се препоручује да се уместо њих користе модернији протоколи као што су сфтп и рсинц.

Извор: опеннет.ру

Додај коментар