Представлено реліз OpenSSH 9.0, відкритої реалізації клієнта та сервера для роботи за протоколами SSH 2.0 та SFTP. У новій версії утиліта scp перекладена за замовчуванням на використання SFTP замість застарілого протоколу SCP/RCP.
У SFTP застосовуються більш передбачувані методи обробки імен та не використовується обробка glob-шаблонів в іменах файлів через shell на стороні іншого хоста, що створює проблеми з безпекою. Зокрема, при застосуванні SCP та RCP сервер приймає рішення про те, які файли та каталоги надіслати клієнту, а клієнт лише перевіряє коректність повернутих імен об'єктів, що у разі відсутності належних перевірок на стороні клієнта дозволяє серверу передати інші імена файлів, що відрізняються від запитаних.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[захищено електронною поштою]» для розкриття шляхів ~/ та ~user/.
При використанні SFTP користувачі можуть зіткнутися з несумісністю, викликаною необхідністю подвійного екранування спецсимволів розкриття шляхів у запитах SCP і RCP, щоб запобігти їх інтерпретацію на віддаленій стороні. У SFTP таке екранування не потрібно і зайві лапки можуть призвести до помилки передачі даних. При цьому розробники OpenSSH відмовилися від додавання розширення для повторення поведінки scp у цьому випадку, тому подвійне екранування розглядається як недолік, який не має сенсу повторювати.
Інші зміни у новому випуску:
- У ssh і sshd за замовчуванням включено гібридний алгоритм обміну ключами «[захищено електронною поштою]» (ECDH/x25519 + NTRU Prime), стійкий до підбору на квантових комп'ютерах та поєднаний з ECDH/x25519 для блокування можливих проблем у NTRU Prime, які можуть спливти у майбутньому. У списку KexAlgorithms, що визначає порядок вибору методів обміну ключами, згаданий алгоритм тепер поставлено перше місце і є пріоритетнішим, ніж алгоритми ECDH і DH.
Квантові комп'ютери ще не досягли рівня, що дозволяє зламувати традиційні ключі, але застосування гібридного захисту дозволить захистити користувачів від атак, пов'язаних із збереженням перехоплених SSH-сеансів з розрахунком, що їх можна буде розшифрувати в майбутньому, коли з'являться необхідні квантові комп'ютери.
- У sftp-server додано розширення "copy-data", що дозволяє копіювати дані на стороні сервера, без транзитної відправки клієнту, якщо вихідний та цільовий файл знаходяться на одному сервері.
- В утиліту sftp додано команду "cp" для ініціювання клієнтом копіювання файлів на стороні сервера.
Джерело: opennet.ru