Bản phát hành OpenSSH 8.8 đã được xuất bản, một triển khai mở của máy khách và máy chủ để hoạt động bằng giao thức SSH 2.0 và SFTP. Bản phát hành đáng chú ý là vô hiệu hóa theo mặc định khả năng sử dụng chữ ký điện tử dựa trên khóa RSA với hàm băm SHA-1 (“ssh-rsa”).
Việc ngừng hỗ trợ chữ ký “ssh-rsa” là do hiệu quả của các cuộc tấn công va chạm với tiền tố nhất định tăng lên (chi phí chọn xung đột ước tính khoảng 50 nghìn USD). Để kiểm tra việc sử dụng ssh-rsa trên hệ thống của bạn, bạn có thể thử kết nối qua ssh với tùy chọn “-oHostKeyAlgorithms=-ssh-rsa”. Hỗ trợ chữ ký RSA với hàm băm SHA-256 và SHA-512 (rsa-sha2-256/512), đã được hỗ trợ kể từ OpenSSH 7.2, vẫn không thay đổi.
Trong hầu hết các trường hợp, việc ngừng hỗ trợ cho “ssh-rsa” sẽ không yêu cầu bất kỳ hành động thủ công nào từ người dùng, vì OpenSSH trước đây đã bật cài đặt UpdateHostKeys theo mặc định, cài đặt này sẽ tự động di chuyển máy khách sang các thuật toán đáng tin cậy hơn. Để di chuyển, phần mở rộng giao thức “[email được bảo vệ]", cho phép máy chủ, sau khi xác thực, thông báo cho máy khách về tất cả các khóa máy chủ có sẵn. Trong trường hợp kết nối với máy chủ có phiên bản OpenSSH rất cũ ở phía máy khách, bạn có thể chọn lọc trả lại khả năng sử dụng chữ ký “ssh-rsa” bằng cách thêm vào ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Phiên bản mới cũng giải quyết vấn đề bảo mật do sshd gây ra, bắt đầu từ OpenSSH 6.2, không khởi tạo nhóm người dùng đúng cách khi thực thi các lệnh được chỉ định trong các chỉ thị AuthorizedKeysCommand và AuthorizedPrincipalsCommand. Những lệnh này được cho là cho phép các lệnh được chạy dưới một người dùng khác, nhưng trên thực tế, chúng kế thừa danh sách các nhóm được sử dụng khi chạy sshd. Có khả năng, hành vi này, với sự hiện diện của một số cài đặt hệ thống nhất định, đã cho phép trình xử lý được khởi chạy có được các đặc quyền bổ sung trên hệ thống.
Ghi chú phát hành mới cũng bao gồm cảnh báo rằng scp sẽ mặc định sử dụng SFTP thay vì giao thức SCP/RCP cũ. SFTP sử dụng các phương pháp xử lý tên dễ dự đoán hơn và không sử dụng xử lý shell các mẫu toàn cầu trong tên tệp ở phía máy chủ khác, điều này tạo ra các vấn đề bảo mật. Đặc biệt, khi sử dụng SCP và RCP, máy chủ sẽ quyết định tệp và thư mục nào sẽ gửi cho máy khách và máy khách chỉ kiểm tra tính chính xác của tên đối tượng được trả về, nếu không có sự kiểm tra thích hợp ở phía máy khách, sẽ cho phép máy chủ để chuyển các tên tệp khác khác với tên được yêu cầu. Giao thức SFTP không gặp phải những vấn đề này nhưng không hỗ trợ mở rộng các đường dẫn đặc biệt như “~/”. Để giải quyết sự khác biệt này, bản phát hành OpenSSH trước đó đã giới thiệu phần mở rộng giao thức SFTP mới cho các đường dẫn ~/ và ~user/ trong quá trình triển khai máy chủ SFTP.
Nguồn: opennet.ru