Објављено је издање ОпенССХ 8.8, отворене имплементације клијента и сервера за рад користећи ССХ 2.0 и СФТП протоколе. Издање је значајно по подразумеваном онемогућавању могућности коришћења дигиталних потписа заснованих на РСА кључевима са СХА-1 хешом („ссх-рса“).
Престанак подршке за „ссх-рса“ потписе је због повећане ефикасности напада колизије са датим префиксом (трошак одабира колизије се процењује на приближно 50 хиљада долара). Да бисте тестирали употребу ссх-рса на вашим системима, можете покушати да се повежете преко ссх-а са опцијом „-оХостКеиАлгоритхмс=-ссх-рса“. Подршка за РСА потписе са СХА-256 и СХА-512 хешовима (рса-сха2-256/512), који су подржани од ОпенССХ 7.2, остаје непромењена.
У већини случајева, укидање подршке за „ссх-рса“ неће захтевати никакве ручне радње од корисника, пошто је ОпенССХ раније имао подразумевано омогућену поставку УпдатеХостКеис, која аутоматски мигрира клијенте на поузданије алгоритме. За миграцију, проширење протокола “[емаил заштићен]“, омогућавајући серверу, након аутентификације, да обавести клијента о свим доступним кључевима хоста. У случају повезивања на хостове са веома старим верзијама ОпенССХ-а на страни клијента, можете селективно вратити могућност коришћења „ссх-рса“ потписа додавањем у ~/.ссх/цонфиг: Хост олд_хостнаме ХосткеиАлгоритхмс +ссх-рса ПубкеиАццептедАлгоритхмс + ссх-рса
Нова верзија такође решава безбедносни проблем изазван ссхд-ом, почевши од ОпенССХ 6.2, који не иницијализује правилно корисничку групу приликом извршавања команди наведених у директивама АутхоризедКеисЦомманд и АутхоризедПринципалсЦомманд. Ове директиве су требале да дозволе покретање команди под другим корисником, али су у ствари наследиле листу група које се користе приликом покретања ссхд-а. Потенцијално, овакво понашање, у присуству одређених системских поставки, омогућило је покренутом руковаоцу да добије додатне привилегије на систему.
Ново издање такође укључује упозорење да ће сцп подразумевано користити СФТП уместо застарелог СЦП/РЦП протокола. СФТП користи предвидљивије методе руковања именима и не користи љуску обраду глоб образаца у именима датотека на страни другог хоста, што ствара безбедносне проблеме. Конкретно, када користи СЦП и РЦП, сервер одлучује које фајлове и директоријуме ће послати клијенту, а клијент само проверава тачност враћених имена објеката, што, у недостатку одговарајућих провера на страни клијента, омогућава сервер за пренос других имена датотека која се разликују од захтеваних. СФТП протокол нема ових проблема, али не подржава проширење посебних путања као што је „~/“. Да би се решила ова разлика, предложено је ново проширење СФТП протокола у претходном издању ОпенССХ у имплементацији СФТП сервера како би се прошириле путање ~/ и ~усер/.
Извор: опеннет.ру