SSH 8.8 ve SFTP protokollerini kullanarak çalışmak için bir istemci ve sunucunun açık uygulaması olan OpenSSH 2.0'in sürümü yayınlandı. Sürüm, SHA-1 karma ("ssh-rsa") ile RSA anahtarlarına dayalı dijital imzaları kullanma yeteneğini varsayılan olarak devre dışı bırakmasıyla dikkat çekiyor.
"ssh-rsa" imzalarına yönelik desteğin sona ermesi, belirli bir önekle çarpışma saldırılarının artan verimliliğinden kaynaklanmaktadır (bir çarpışma seçmenin maliyetinin yaklaşık 50 bin dolar olduğu tahmin edilmektedir). Sistemlerinizde ssh-rsa kullanımını test etmek için “-oHostKeyAlgorithms=-ssh-rsa” seçeneği ile ssh üzerinden bağlanmayı deneyebilirsiniz. OpenSSH 256'den bu yana desteklenen SHA-512 ve SHA-2 karmalarına (rsa-sha256-512/7.2) sahip RSA imzaları desteği değişmeden kaldı.
OpenSSH'de daha önce istemcileri otomatik olarak daha güvenilir algoritmalara geçiren UpdateHostKeys ayarı varsayılan olarak etkinleştirildiğinden, çoğu durumda "ssh-rsa" desteğinin sona erdirilmesi kullanıcıların herhangi bir manuel eylem gerçekleştirmesini gerektirmez. Geçiş için protokol uzantısı “[e-posta korumalı]", kimlik doğrulama sonrasında sunucunun istemciyi mevcut tüm ana bilgisayar anahtarları hakkında bilgilendirmesine olanak tanır. İstemci tarafında OpenSSH'nin çok eski sürümlerine sahip ana bilgisayarlara bağlanma durumunda, ~/.ssh/config dosyasına ekleyerek "ssh-rsa" imzalarını kullanma yeteneğini seçerek geri getirebilirsiniz: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Yeni sürüm aynı zamanda OpenSSH 6.2'den başlayarak AuthorizedKeysCommand ve AuthorizedPrincipalsCommand yönergelerinde belirtilen komutları yürütürken kullanıcı grubunun düzgün şekilde başlatılamaması nedeniyle sshd'nin neden olduğu bir güvenlik sorununu da çözüyor. Bu direktiflerin, komutların farklı bir kullanıcı altında çalıştırılmasına izin vermesi gerekiyordu, ancak aslında sshd'yi çalıştırırken kullanılan grupların listesini miras aldılar. Potansiyel olarak bu davranış, belirli sistem ayarlarının varlığında, başlatılan işleyicinin sistemde ek ayrıcalıklar kazanmasına olanak tanıdı.
Yeni sürüm notu ayrıca scp'nin eski SCP/RCP protokolü yerine varsayılan olarak SFTP'ye geçeceğine dair bir uyarı da içeriyor. SFTP daha öngörülebilir ad işleme yöntemleri kullanır ve diğer ana bilgisayar tarafındaki dosya adlarındaki glob desenlerinin kabuk işlemesini kullanmaz; bu da güvenlik sorunları yaratır. Özellikle, SCP ve RCP kullanıldığında, sunucu istemciye hangi dosya ve dizinlerin gönderileceğine karar verir ve istemci yalnızca döndürülen nesne adlarının doğruluğunu kontrol eder; bu, istemci tarafında uygun kontrollerin olmaması durumunda, istemciye izin verir. İstenilenlerden farklı diğer dosya adlarını aktarmak için sunucuya. SFTP protokolünde bu sorunlar bulunmamaktadır ancak “~/” gibi özel yolların genişletilmesi desteklenmemektedir. Bu farklılığı gidermek için OpenSSH'nin önceki sürümü, SFTP sunucusu uygulamasındaki ~/ ve ~user/ yollarına yeni bir SFTP protokol uzantısı ekledi.
Kaynak: opennet.ru