Utgivningen av OpenSSH 9.0, en öppen implementering av en klient och server för att arbeta med SSH 2.0- och SFTP-protokollen, har presenterats. I den nya versionen har scp-verktyget ändrats som standard för att använda SFTP istället för det föråldrade SCP/RCP-protokollet.
SFTP använder mer förutsägbara namnhanteringsmetoder och använder inte skalbearbetning av globmönster i filnamn på den andra värdens sida, vilket skapar säkerhetsproblem. Speciellt när SCP och RCP används bestämmer servern vilka filer och kataloger som ska skickas till klienten, och klienten kontrollerar endast riktigheten av de returnerade objektnamnen, vilket, i avsaknad av korrekta kontroller på klientsidan, tillåter server för att överföra andra filnamn som skiljer sig från de begärda.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[e-postskyddad]" för att utöka sökvägarna ~/ och ~user/.
När du använder SFTP kan användare också stöta på inkompatibiliteter som orsakas av behovet av att dubbel-escape special sökvägsexpansionstecken i SCP- och RCP-förfrågningar för att förhindra att de tolkas av fjärrsidan. I SFTP krävs inte sådan flykt och extra offerter kan leda till ett dataöverföringsfel. Samtidigt vägrade OpenSSH-utvecklarna att lägga till en förlängning för att replikera beteendet hos scp i det här fallet, så dubbel escape anses vara ett fel som inte är vettigt att upprepa.
Andra ändringar i den nya utgåvan:
- Ssh och sshd har en hybridnyckelutbytesalgoritm aktiverad som standard "[e-postskyddad]"(ECDH/x25519 + NTRU Prime), resistent mot plockning på kvantdatorer och kombinerad med ECDH/x25519 för att blockera eventuella problem i NTRU Prime som kan uppstå i framtiden. I listan över KexAlgorithms, som bestämmer i vilken ordning nyckelutbytesmetoderna väljs, är den nämnda algoritmen nu placerad först och har högre prioritet än ECDH- och DH-algoritmerna.
Kvantdatorer har ännu inte nått nivån för att knäcka traditionella nycklar, men att använda hybridsäkerhet kommer att skydda användare från attacker som involverar lagring av avlyssnade SSH-sessioner i hopp om att de kan dekrypteras i framtiden när de nödvändiga kvantdatorerna blir tillgängliga.
- Tillägget "copy-data" har lagts till sftp-server, vilket gör att du kan kopiera data på serversidan, utan att överföra den till klienten, om käll- och målfilerna finns på samma server.
- Kommandot "cp" har lagts till i sftp-verktyget för att initiera klienten att kopiera filer på serversidan.
Källa: opennet.ru