Pelepasan OpenSSH 8.8 parantos diterbitkeun, palaksanaan kabuka pikeun klien sareng server pikeun damel nganggo protokol SSH 2.0 sareng SFTP. Pelepasan ieu kasohor pikeun nganonaktipkeun sacara standar kamampuan ngagunakeun tanda tangan digital dumasar kana konci RSA sareng hash SHA-1 ("ssh-rsa").
Leungitna dukungan pikeun tanda tangan "ssh-rsa" disababkeun ku paningkatan efisiensi serangan tabrakan kalayan awalan anu dipasihkeun (biaya pikeun milih tabrakan diperkirakeun sakitar $50 rébu). Pikeun nguji pamakean ssh-rsa dina sistem anjeun, anjeun tiasa nyobian nyambungkeun via ssh nganggo pilihan "-oHostKeyAlgorithm=-ssh-rsa". Rojongan pikeun tanda tangan RSA sareng SHA-256 sareng SHA-512 hashes (rsa-sha2-256/512), anu parantos dirojong ti OpenSSH 7.2, tetep teu robih.
Dina kalolobaan kasus, discontinuing rojongan pikeun "ssh-rsa" moal merlukeun sagala lampah manual ti pamaké, saprak OpenSSH saméméhna mibanda setelan UpdateHostKeys diaktipkeun sacara standar, nu otomatis migrasi klien ka algoritma leuwih dipercaya. Pikeun migrasi, ekstensi protokol "[email dijaga]", ngamungkinkeun server, sanggeus auténtikasi, pikeun nginpokeun ka klien ngeunaan sagala konci host sadia. Dina hal nyambungkeun ka host sareng versi OpenSSH anu lami pisan di sisi klien, anjeun tiasa selektif ngabalikeun kamampuan ngagunakeun tanda tangan "ssh-rsa" ku nambihan ka ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Versi anyar ogé ngabéréskeun masalah kaamanan anu disababkeun ku sshd, dimimitian ku OpenSSH 6.2, henteu leres-leres ngamimitian grup pangguna nalika ngalaksanakeun paréntah anu ditetepkeun dina arahan AuthorizedKeysCommand sareng AuthorizedPrincipalsCommand. Directives ieu sakuduna dituju pikeun ngidinan Paréntah pikeun ngajalankeun handapeun pamaké béda, tapi dina kanyataanana aranjeunna diwariskeun daptar grup dipaké nalika ngajalankeun sshd. Berpotensi, kabiasaan ieu, ku ayana setélan sistem tangtu, diwenangkeun Handler dibuka mangtaun hak husus tambahan dina sistem.
Catetan pelepasan anyar ogé kalebet peringatan yén scp bakal ditunakeun kana SFTP tinimbang protokol SCP / RCP warisan. SFTP ngagunakeun métode penanganan ngaran nu leuwih bisa diprediksi tur teu make ngolah cangkang tina pola glob dina ngaran file di sisi host séjén urang, nu nyiptakeun masalah kaamanan. Khususna, nalika nganggo SCP sareng RCP, server mutuskeun file sareng diréktori mana anu bakal dikirim ka klien, sareng klien ngan ukur mariksa kabeneran nami obyék anu dipulangkeun, anu, upami henteu aya cek anu leres dina sisi klien, ngamungkinkeun server pikeun nransferkeun ngaran koropak séjén nu béda ti nu dipénta. Protokol SFTP henteu ngagaduhan masalah ieu, tapi henteu ngadukung ékspansi jalur khusus sapertos "~/". Pikeun ngabéréskeun bédana ieu, ekstensi anyar pikeun protokol SFTP diusulkeun dina sékrési OpenSSH sateuacana dina palaksanaan server SFTP pikeun ngalegaan jalur ~/ sareng ~user/.
sumber: opennet.ru