OpenSSH 8.8 versiyasi e'lon qilindi, SSH 2.0 va SFTP protokollaridan foydalangan holda ishlash uchun mijoz va serverning ochiq ilovasi. Reliz RSA kalitlari asosidagi raqamli imzolardan SHA-1 xeshli (“ssh-rsa”) foydalanish imkoniyatini sukut bo‘yicha o‘chirib qo‘ygani bilan ajralib turadi.
"Ssh-rsa" imzolarini qo'llab-quvvatlashning to'xtatilishi ma'lum bir prefiks bilan to'qnashuv hujumlarining samaradorligi oshishi bilan bog'liq (to'qnashuvni tanlash narxi taxminan 50 ming dollarga baholanadi). Tizimingizda ssh-rsa-dan foydalanishni sinab ko'rish uchun siz “-oHostKeyAlgorithms=-ssh-rsa” opsiyasi bilan ssh orqali ulanishga urinib ko'rishingiz mumkin. OpenSSH 256 dan beri qo'llab-quvvatlanadigan SHA-512 va SHA-2 xeshlari (rsa-sha256-512/7.2) bilan RSA imzolarini qo'llab-quvvatlash o'zgarishsiz qolmoqda.
Ko'pgina hollarda, "ssh-rsa" ni qo'llab-quvvatlashni to'xtatish foydalanuvchilardan qo'lda harakat qilishni talab qilmaydi, chunki OpenSSH ilgari sukut bo'yicha UpdateHostKeys sozlamalari yoqilgan bo'lib, u avtomatik ravishda mijozlarni yanada ishonchli algoritmlarga o'tkazadi. Migratsiya uchun protokol kengaytmasi "[elektron pochta bilan himoyalangan]", serverga autentifikatsiyadan so'ng mijozni barcha mavjud xost kalitlari haqida xabardor qilish imkonini beradi. Mijoz tomonida OpenSSH ning juda eski versiyalari bo'lgan xostlarga ulanganda, ~/.ssh/config ga qo'shish orqali "ssh-rsa" imzolaridan foydalanish imkoniyatini tanlab qaytarishingiz mumkin: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Yangi versiya, shuningdek, OpenSSH 6.2 dan boshlab, AuthorizedKeysCommand va AuthorizedPrincipalsCommand direktivalarida ko'rsatilgan buyruqlarni bajarishda foydalanuvchi guruhini to'g'ri ishga tushirmagan sshd tomonidan yuzaga kelgan xavfsizlik muammosini hal qiladi. Ushbu direktivalar buyruqlarni boshqa foydalanuvchi ostida ishlatishga ruxsat berishi kerak edi, lekin aslida ular sshd-ni ishga tushirishda ishlatiladigan guruhlar ro'yxatini meros qilib oldi. Ehtimol, bu xatti-harakat, ma'lum tizim sozlamalari mavjud bo'lganda, ishga tushirilgan ishlov beruvchiga tizimda qo'shimcha imtiyozlarga ega bo'lish imkonini berdi.
Yangi nashr eslatmasi, shuningdek, eski SCP/RCP protokoli o'rniga scp sukut bo'yicha SFTP ga o'tishi haqida ogohlantirishni o'z ichiga oladi. SFTP ko'proq bashorat qilinadigan nomlarni qayta ishlash usullaridan foydalanadi va boshqa xost tomonidagi fayl nomlarida glob naqshlarini qobiq bilan qayta ishlashdan foydalanmaydi, bu esa xavfsizlik muammolarini keltirib chiqaradi. Xususan, SCP va RCP dan foydalanganda, server mijozga qaysi fayl va kataloglarni yuborishni hal qiladi va mijoz faqat qaytarilgan ob'ekt nomlarining to'g'riligini tekshiradi, bu esa mijoz tomonidan tegishli tekshiruvlar bo'lmasa, so'ralganlardan farq qiladigan boshqa fayl nomlarini uzatish uchun server. SFTP protokolida bunday muammolar mavjud emas, lekin "~/" kabi maxsus yo'llarni kengaytirishni qo'llab-quvvatlamaydi. Ushbu farqni bartaraf etish uchun, ~/ va ~user/ yo'llarini kengaytirish uchun SFTP serverini amalga oshirishda OpenSSH-ning oldingi versiyasida SFTP protokolining yangi kengaytmasi taklif qilingan.
Manba: opennet.ru