มีการเผยแพร่ OpenSSH 8.8 ซึ่งเป็นการใช้งานแบบเปิดของไคลเอนต์และเซิร์ฟเวอร์สำหรับการทำงานโดยใช้โปรโตคอล SSH 2.0 และ SFTP รุ่นดังกล่าวมีความโดดเด่นในการปิดใช้งานความสามารถในการใช้ลายเซ็นดิจิทัลตามคีย์ RSA พร้อมด้วยแฮช SHA-1 (“ssh-rsa”) โดยค่าเริ่มต้น
การยุติการสนับสนุนลายเซ็น "ssh-rsa" เกิดจากการเพิ่มประสิทธิภาพของการโจมตีการชนกันด้วยคำนำหน้าที่กำหนด (ค่าใช้จ่ายในการเลือกการชนกันอยู่ที่ประมาณ 50 ดอลลาร์) หากต้องการทดสอบการใช้ ssh-rsa บนระบบของคุณ คุณสามารถลองเชื่อมต่อผ่าน ssh ด้วยตัวเลือก “-oHostKeyAlgorithms=-ssh-rsa” การรองรับลายเซ็น RSA ที่มีแฮช SHA-256 และ SHA-512 (rsa-sha2-256/512) ซึ่งได้รับการรองรับตั้งแต่ OpenSSH 7.2 ยังคงไม่มีการเปลี่ยนแปลง
ในกรณีส่วนใหญ่ การยุติการสนับสนุน "ssh-rsa" จะไม่จำเป็นต้องมีการดำเนินการใดๆ จากผู้ใช้ เนื่องจากก่อนหน้านี้ OpenSSH ได้เปิดใช้งานการตั้งค่า UpdateHostKeys เป็นค่าเริ่มต้น ซึ่งจะย้ายไคลเอ็นต์โดยอัตโนมัติไปยังอัลกอริทึมที่เชื่อถือได้มากขึ้น สำหรับการโยกย้าย ส่วนขยายโปรโตคอล “[ป้องกันอีเมล]" อนุญาตให้เซิร์ฟเวอร์แจ้งไคลเอ็นต์เกี่ยวกับคีย์โฮสต์ที่มีอยู่ทั้งหมดหลังจากการตรวจสอบสิทธิ์แล้ว ในกรณีที่เชื่อมต่อกับโฮสต์ด้วย OpenSSH เวอร์ชันเก่ามากบนฝั่งไคลเอ็นต์ คุณสามารถเลือกคืนความสามารถในการใช้ลายเซ็น “ssh-rsa” ได้โดยการเพิ่ม ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
เวอร์ชันใหม่ยังแก้ไขปัญหาด้านความปลอดภัยที่เกิดจาก sshd โดยเริ่มต้นด้วย OpenSSH 6.2 ซึ่งไม่สามารถเริ่มต้นกลุ่มผู้ใช้ได้อย่างถูกต้องเมื่อดำเนินการคำสั่งที่ระบุในคำสั่ง AuthorizedKeysCommand และ AuthorizedPrincipalsCommand คำสั่งเหล่านี้ควรจะอนุญาตให้เรียกใช้คำสั่งภายใต้ผู้ใช้รายอื่น แต่ในความเป็นจริงแล้ว คำสั่งเหล่านี้สืบทอดรายชื่อกลุ่มที่ใช้เมื่อเรียกใช้ sshd อาจเป็นไปได้ว่าลักษณะการทำงานนี้ เมื่อมีการตั้งค่าระบบบางอย่าง ทำให้ตัวจัดการที่เรียกใช้งานได้รับสิทธิพิเศษเพิ่มเติมบนระบบ
บันทึกประจำรุ่นใหม่ยังรวมคำเตือนว่า scp จะใช้ค่าเริ่มต้นเป็น SFTP แทนที่จะเป็นโปรโตคอล SCP/RCP แบบเดิม SFTP ใช้วิธีการจัดการชื่อที่คาดเดาได้มากขึ้น และไม่ใช้การประมวลผลเชลล์ของรูปแบบ glob ในชื่อไฟล์ในฝั่งของโฮสต์อื่น ซึ่งทำให้เกิดปัญหาด้านความปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อใช้ SCP และ RCP เซิร์ฟเวอร์จะตัดสินใจว่าไฟล์และไดเร็กทอรีใดที่จะส่งไปยังไคลเอ็นต์ และไคลเอ็นต์จะตรวจสอบความถูกต้องของชื่ออ็อบเจ็กต์ที่ส่งคืนเท่านั้น ซึ่งหากไม่มีการตรวจสอบที่เหมาะสมในฝั่งไคลเอ็นต์ จะช่วยให้ เซิร์ฟเวอร์เพื่อถ่ายโอนชื่อไฟล์อื่นที่แตกต่างจากที่ร้องขอ โปรโตคอล SFTP ไม่มีปัญหาเหล่านี้ แต่ไม่รองรับการขยายเส้นทางพิเศษ เช่น “~/” เพื่อแก้ไขความแตกต่างนี้ OpenSSH รุ่นก่อนหน้านี้ได้แนะนำส่วนขยายโปรโตคอล SFTP ใหม่ให้กับเส้นทาง ~/ และ ~user/ ในการใช้งานเซิร์ฟเวอร์ SFTP
ที่มา: opennet.ru