ProHoster > blogg > internetnyheter > OpenSSH 8.0 version

OpenSSH 8.0 version

Efter fem månaders utveckling presenteras släpp OpenSSH 8.0, en öppen klient- och serverimplementering för att arbeta via SSH 2.0- och SFTP-protokollen.

Huvudändringar:

  • Experimentellt stöd för en nyckelutbytesmetod som är resistent mot brute-force-attacker på en kvantdator har lagts till i ssh och sshd. Kvantdatorer är radikalt snabbare på att lösa problemet med att bryta ner ett naturligt tal till primtalsfaktorer, vilket ligger till grund för moderna asymmetriska krypteringsalgoritmer och som inte kan lösas effektivt på klassiska processorer. Den föreslagna metoden är baserad på algoritmen NTRU Prime (funktion ntrup4591761), utvecklad för post-kvantkryptosystem, och den elliptiska kurvan nyckelutbytesmetoden X25519;
  • I sshd stöder ListenAddress och PermitOpen-direktiven inte längre den äldre "värd/port"-syntaxen, som implementerades 2001 som ett alternativ till "värd:port" för att förenkla arbetet med IPv6. I moderna förhållanden har syntaxen "[::6]:1" fastställts för IPv22, och "värd/port" förväxlas ofta med att ange subnätet (CIDR);
  • ssh, ssh-agent och ssh-add stöder nu nycklar ECDSA i PKCS#11-tokens;
  • I ssh-keygen har standardstorleken för RSA-nyckeln ökats till 3072 bitar, i enlighet med nya NIST-rekommendationer;
  • ssh tillåter användning av inställningen "PKCS11Provider=ingen" för att åsidosätta PKCS11Provider-direktivet specificerat i ssh_config;
  • sshd ger en loggvisning av situationer när anslutningen avslutas när man försöker köra kommandon blockerade av "ForceCommand=internal-sftp"-begränsningen i sshd_config;
  • I ssh, när en begäran om att bekräfta godkännandet av en ny värdnyckel visas, istället för "ja"-svaret, accepteras nu nyckelns korrekta fingeravtryck (som svar på inbjudan att bekräfta anslutningen kan användaren kopiera separat mottagen referenshash via klippbordet, för att inte jämföra det manuellt);
  • ssh-keygen tillhandahåller automatisk ökning av certifikatets sekvensnummer när digitala signaturer skapas för flera certifikat på kommandoraden;
  • Ett nytt alternativ "-J" har lagts till i scp och sftp, motsvarande ProxyJump-inställningen;
  • I ssh-agent, ssh-pkcs11-helper och ssh-add har bearbetning av kommandoradsalternativet "-v" lagts till för att öka informationsinnehållet i utdata (när det är angivet, skickas det här alternativet vidare till underordnade processer, för exempel när ssh-pkcs11-helper anropas från ssh-agent );
  • Alternativet "-T" har lagts till i ssh-add för att testa lämpligheten av nycklar i ssh-agent för att skapa digitala signaturer och verifiera;
  • sftp-server implementerar stöd för protokolltillägget "lsetstat at openssh.com", som lägger till stöd för SSH2_FXP_SETSTAT-operationen för SFTP, men utan att följa symboliska länkar;
  • Lade till "-h"-alternativ till sftp för att köra chown/chgrp/chmod-kommandon med förfrågningar som inte använder symboliska länkar;
  • sshd tillhandahåller inställning av miljövariabeln $SSH_CONNECTION för PAM;
  • För sshd har ett matchningsläge "Match final" lagts till i ssh_config, vilket liknar "Match canonical", men kräver inte normalisering av värdnamnet för att vara aktiverat;
  • Lade till stöd för prefixet '@' till sftp för att inaktivera översättning av utdata från kommandon som körs i batchläge;
  • När du visar innehållet i ett certifikat med kommandot
    "ssh-keygen -Lf /path/certificate" visar nu algoritmen som används av CA för att validera certifikatet;

  • Förbättrat stöd för Cygwin-miljön, till exempel tillhandahållande av skiftlägesokänslig jämförelse av grupp- och användarnamn. sshd-processen i Cygwin-porten har ändrats till cygsshd för att undvika störningar med den Microsoft-levererade OpenSSH-porten;
  • Lade till möjligheten att bygga med den experimentella OpenSSL 3.x-grenen;
  • Utslagen sårbarhet (CVE-2019-6111) i implementeringen av scp-verktyget, som gör att godtyckliga filer i målkatalogen kan skrivas över på klientsidan vid åtkomst till en server som kontrolleras av en angripare. Problemet är att när man använder scp bestämmer servern vilka filer och kataloger som ska skickas till klienten, och klienten kontrollerar bara att de returnerade objektnamnen är korrekta. Kontroll på klientsidan är begränsad till att endast blockera resor bortom den aktuella katalogen ("../"), men tar inte hänsyn till överföringen av filer med andra namn än de som ursprungligen begärdes. Vid rekursiv kopiering (-r) kan du förutom filnamn även manipulera namnen på underkataloger på liknande sätt. Om användaren till exempel kopierar filer till hemkatalogen kan servern som kontrolleras av angriparen producera filer med namnen .bash_aliases eller .ssh/authorized_keys istället för de begärda filerna, och de kommer att sparas av scp-verktyget i användarens hemkatalog.

    I den nya versionen har scp-verktyget uppdaterats för att kontrollera överensstämmelsen mellan de efterfrågade filnamnen och de som skickas av servern, vilket utförs på klientsidan. Detta kan orsaka problem med maskbehandling, eftersom maskexpansionstecken kan behandlas olika på server- och klientsidan. Om sådana skillnader gör att klienten slutar acceptera filer i scp, har alternativet "-T" lagts till för att inaktivera kontroll på klientsidan. För att helt rätta till problemet krävs en konceptuell omarbetning av scp-protokollet, som i sig redan är föråldrat, så det rekommenderas att istället använda mer moderna protokoll som sftp och rsync.

Källa: opennet.ru

Lägg en kommentar