Pagkatapos ng limang buwan ng pag-unlad pakawalan , isang bukas na pagpapatupad ng kliyente at server para sa pagtatrabaho sa pamamagitan ng mga protocol ng SSH 2.0 at SFTP.
Pangunahing pagbabago:
- Ang pang-eksperimentong suporta para sa isang pangunahing paraan ng pagpapalitan na lumalaban sa mga malupit na pag-atake sa isang quantum computer ay idinagdag sa ssh at sshd. Ang mga quantum computer ay radikal na mas mabilis sa paglutas ng problema ng pag-decompose ng isang natural na numero sa mga pangunahing salik, na sumasailalim sa mga modernong asymmetric encryption algorithm at hindi maaaring malutas nang epektibo sa mga klasikal na processor. Ang iminungkahing pamamaraan ay batay sa algorithm (function na ntrup4591761), na binuo para sa post-quantum cryptosystems, at ang elliptic curve key exchange method na X25519;
- Sa sshd, hindi na sinusuportahan ng mga direktiba ng ListenAddress at PermitOpen ang legacy na "host/port" syntax, na ipinatupad noong 2001 bilang alternatibo sa "host:port" upang pasimplehin ang pagtatrabaho sa IPv6. Sa modernong mga kondisyon, ang syntax na "[::6]:1" ay naitatag para sa IPv22, at ang "host/port" ay kadalasang nalilito sa pagpahiwatig ng subnet (CIDR);
- Sinusuportahan na ngayon ng ssh, ssh-agent at ssh-add ang mga key sa PKCS#11 token;
- Sa ssh-keygen, ang default na laki ng RSA key ay nadagdagan sa 3072 bits, alinsunod sa mga bagong rekomendasyon ng NIST;
- Binibigyang-daan ng ssh ang paggamit ng setting na "PKCS11Provider=none" upang i-override ang direktiba ng PKCS11Provider na tinukoy sa ssh_config;
- Ang sshd ay nagbibigay ng log display ng mga sitwasyon kapag ang koneksyon ay tinapos kapag sinusubukang isagawa ang mga command na hinarangan ng "ForceCommand=internal-sftp" na paghihigpit sa sshd_config;
- Sa ssh, kapag nagpapakita ng isang kahilingan upang kumpirmahin ang pagtanggap ng isang bagong host key, sa halip na ang "oo" na tugon, ang tamang fingerprint ng susi ay tinatanggap na ngayon (bilang tugon sa imbitasyon upang kumpirmahin ang koneksyon, ang user ay maaaring kopyahin ang hiwalay na nakatanggap ng reference na hash sa pamamagitan ng clipboard, upang hindi manu-manong ihambing ito);
- Ang ssh-keygen ay nagbibigay ng awtomatikong pagdaragdag ng numero ng pagkakasunud-sunod ng sertipiko kapag lumilikha ng mga digital na lagda para sa maraming mga sertipiko sa command line;
- Ang isang bagong opsyon na "-J" ay naidagdag sa scp at sftp, katumbas ng setting ng ProxyJump;
- Sa ssh-agent, ssh-pkcs11-helper at ssh-add, ang pagpoproseso ng "-v" command line na opsyon ay idinagdag upang madagdagan ang nilalaman ng impormasyon ng output (kapag tinukoy, ang opsyon na ito ay ipinapasa sa mga proseso ng bata, para sa halimbawa, kapag ang ssh-pkcs11-helper ay tinawag mula sa ssh-agent );
- Ang opsyong "-T" ay idinagdag sa ssh-add upang subukan ang pagiging angkop ng mga key sa ssh-agent para sa pagsasagawa ng digital signature na paggawa at pagpapatakbo ng pag-verify;
- Ang sftp-server ay nagpapatupad ng suporta para sa extension ng protocol na "lsetstat at openssh.com", na nagdaragdag ng suporta para sa operasyon ng SSH2_FXP_SETSTAT para sa SFTP, ngunit nang hindi sumusunod sa mga simbolikong link;
- Idinagdag ang opsyong "-h" sa sftp upang magpatakbo ng mga utos ng chown/chgrp/chmod na may mga kahilingang hindi gumagamit ng mga simbolikong link;
- Ang sshd ay nagbibigay ng setting ng $SSH_CONNECTION environment variable para sa PAM;
- Para sa sshd, idinagdag ang mode ng pagtutugma ng "Pahuling tugma" sa ssh_config, na katulad ng "Match canonical", ngunit hindi nangangailangan na paganahin ang normalization ng hostname;
- Nagdagdag ng suporta para sa '@' prefix sa sftp upang hindi paganahin ang pagsasalin ng output ng mga utos na isinagawa sa batch mode;
- Kapag ipinakita mo ang mga nilalaman ng isang sertipiko gamit ang command
Ipinapakita na ngayon ng "ssh-keygen -Lf /path/certificate" ang algorithm na ginagamit ng CA upang patunayan ang certificate; - Pinahusay na suporta para sa kapaligiran ng Cygwin, halimbawa ng pagbibigay ng case-insensitive na paghahambing ng mga pangalan ng grupo at user. Ang proseso ng sshd sa Cygwin port ay binago sa cygsshd upang maiwasan ang pagkagambala sa OpenSSH port na ibinigay ng Microsoft;
- Idinagdag ang kakayahang bumuo gamit ang pang-eksperimentong OpenSSL 3.x branch;
- Tinanggal (CVE-2019-6111) sa pagpapatupad ng scp utility, na nagpapahintulot sa mga arbitrary na file sa target na direktoryo na ma-overwrit sa panig ng kliyente kapag nag-a-access sa isang server na kinokontrol ng isang umaatake. Ang problema ay kapag gumagamit ng scp, nagpapasya ang server kung aling mga file at direktoryo ang ipapadala sa kliyente, at sinusuri lamang ng kliyente ang kawastuhan ng mga ibinalik na pangalan ng bagay. Limitado ang pag-check sa panig ng kliyente sa pagharang lamang sa paglalakbay na lampas sa kasalukuyang direktoryo (β../β), ngunit hindi isinasaalang-alang ang paglilipat ng mga file na may mga pangalan na iba sa mga orihinal na hiniling. Sa kaso ng recursive copying (-r), bilang karagdagan sa mga pangalan ng file, maaari mo ring manipulahin ang mga pangalan ng mga subdirectory sa katulad na paraan. Halimbawa, kung ang user ay kumopya ng mga file sa home directory, ang server na kinokontrol ng attacker ay makakagawa ng mga file na may mga pangalan na .bash_aliases o .ssh/authorized_keys sa halip na ang mga hiniling na file, at sila ay ise-save ng scp utility sa user's direktoryo ng tahanan.
Sa bagong release, ang scp utility ay na-update upang suriin ang mga sulat sa pagitan ng mga pangalan ng file na hiniling at sa mga ipinadala ng server, na ginagawa sa panig ng kliyente. Ito ay maaaring magdulot ng mga problema sa pagpoproseso ng mask, dahil ang mga character ng pagpapalawak ng mask ay maaaring maproseso nang iba sa panig ng server at kliyente. Kung sakaling ang gayong mga pagkakaiba ay maging sanhi ng paghinto ng kliyente sa pagtanggap ng mga file sa scp, ang opsyong "-T" ay idinagdag upang hindi paganahin ang pagsuri sa panig ng kliyente. Upang ganap na maitama ang problema, kinakailangan ang isang konseptwal na muling paggawa ng scp protocol, na kung saan ay luma na, kaya inirerekomenda na gumamit ng mas modernong mga protocol tulad ng sftp at rsync sa halip.
Pinagmulan: opennet.ru