The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз OpenSSH 9.0 с переводом scp на протокол SFTP

08.04.2022 13:18

Представлен релиз OpenSSH 9.0, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии утилита scp переведена по умолчанию на использование SFTP вместо устаревшего протокола SCP/RCP.

В SFTP применяются более предсказуемые методы обработки имён и не используется обработка glob-шаблонов в именах файлов через shell на стороне другого хоста, создающая проблемы с безопасностью. В частности, при применении SCP и RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов, что в случае отсутствия должных проверок на стороне клиента позволяет серверу передать другие имена файлов, отличающиеся от запрошенных.

Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как "~/". Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола "expand-path@openssh.com" для раскрытия путей ~/ и ~user/.

При использовании SFTP пользователи также могут столкнуться с несовместимостью, вызванной необходимостью двойного экранирования спецсимволов раскрытия путей в запросах SCP и RCP, чтобы предотвратить их интерпретацию на удалённой стороне. В SFTP такое экранирование не требуется и лишние кавычки могут привести к ошибке передачи данных. При этом разработчики OpenSSH отказались от добавления расширения для повторения поведения scp в этом случае, так как двойное экранирование рассматривается как недостаток, который не имеет смысл повторять.

Другие изменения в новом выпуске:

  • В ssh и sshd по умолчанию включён гибридный алгоритм обмена ключами "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime), стойкий к подбору на квантовых компьютерах и совмещённый с ECDH/x25519 для блокирования возможных проблем в NTRU Prime, которые могут всплыть в будущем. В списке KexAlgorithms, определяющем порядок выбора методов обмена ключами, упомянутый алгоритм теперь поставлен на первое место и является более приоритетным, чем алгоритмы ECDH и DH.

    Квантовые компьютеры ещё не достигли уровня, позволяющего взламывать традиционные ключи, но применение гибридной защиты позволит оградить пользователей от атак, связанных с сохранением перехваченных SSH-сеансов с расчётом, что их можно будет расшифровать в будущем, когда появятся необходимые квантовые компьютеры.

  • В sftp-server добавлено расширение "copy-data", позволяющее копировать данные на стороне сервера, без транзитной отправки клиенту, если исходный и целевой файл находятся на одном сервере.
  • В утилиту sftp добавлена команда "cp" для инициирования клиентом копирования файлов на стороне сервера.


  1. Главная ссылка к новости (https://lists.mindrot.org/pipe...)
  2. OpenNews: Релиз OpenSSH 8.9 с устранением уязвимости в sshd
  3. OpenNews: Релиз OpenSSH 8.8 с отключением поддержки цифровых подписей rsa-sha
  4. OpenNews: Google опубликовал HIBA, надстройку над OpenSSH для авторизации на основе сертификатов
  5. OpenNews: Уязвимость в SSH-клиентах OpenSSH и PuTTY
  6. OpenNews: Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/56991-openssh
Ключевые слова: openssh, scp, sftp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:38, 08/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Золотой стандарт опенсорс проектов уже почти 30 лет.
     
     
  • 2.6, myhand (ok), 14:09, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тео знает толк в опенсорс.
     
     
  • 3.26, hefenud (ok), 23:56, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • –5 +/
    И какое отношение безумный Тео имеет к OpenSSH?
    Слово Open еще не значит, что Тео имеет отношение к проекту
     
     
  • 4.31, myhand (ok), 04:34, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И какое отношение безумный Тео имеет к OpenSSH?

    Вы без посторонней помощи можете найти сайт проекта и почитать раздел History?


     
     
  • 5.50, hefenud (ok), 09:09, 10/04/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> И какое отношение безумный Тео имеет к OpenSSH?
    > Вы без посторонней помощи можете найти сайт проекта и почитать раздел History?

    Нет в OpenSSH кода этого сумасшедшего

     
     
  • 6.57, Аноним (57), 06:21, 12/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Плачь и смотри...

    http://cvsweb.openbsd.org/src/usr.bin/ssh/ssh.c

     
  • 3.39, Аноним (-), 16:06, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Тео знает толк в опенсорс.

    Не факт.

     
     
  • 4.46, myhand (ok), 18:20, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    RMS наградил Тео, а анона?
     
  • 2.10, Крок (?), 15:34, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это потому что вы не лазали внутрь, там хватает легаси от тату. У меня кейген и прочие утилиты вообще падали от ключей сделаных ком версией в новом формате. И на 32 битной системе есть переполнение которое видно если поставить рекей более чем через 24 суток - клиент подключится не может.
     

  • 1.2, Аноним (2), 13:42, 08/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Когда обновление в компонентах windows?
     
     
  • 2.11, Diozan (ok), 15:35, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А зачем она нужна? Я Windows имею в виду...
     
     
  • 3.15, васёк (?), 17:31, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • –8 +/
    95% профессионального коммерческого софта под нее, начиная с Adobe Photoshop, 4% под MacOS, ну и под линь 1%, типа БД Oracle есть, так что линь не говно
     
     
  • 4.16, VladSh (?), 17:44, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Сейчас уже много кто переходит на кроссплатформенную архитектуру, включая тот же Adobe.
    Но вопроса "зачем нужна Винда?" не поддерживаю. Раз люди пользуются, значит есть спрос, а значит есть и предложение.
     
     
  • 5.19, Шнапс (?), 19:17, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Целых два адекватных камента в одной ветке! Вот это да....
     
  • 5.27, ssh (ok), 00:58, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Сейчас уже много кто переходит на кроссплатформенную архитектуру,

    Так вот почему сколько обновляй аппаратную часть программы быстрее не становятся. ;)

     
  • 5.33, Аноним (33), 08:54, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У Adobe всегда была кроссплатформенная архитектура, если кто не помнит. Вот только линукс в число этих платформ никогда не входил, и явно не планируется
     
  • 4.20, Аноним (20), 19:29, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 95% профессионального коммерческого софта

    Этой байке лет 20 уже. С этого момента многие конторы особенно имеющие стратегическое значение успешно решили все вопросы с внешними зависимостями, а остальные (коммерческие компании) могут идиотничать как хотят, так как их бизнес зависит только от них самих. Если они ставят под сомнение работу своего бизнеса, то они просто плохие предприниматели и будут за это наказаны =)

    *Итог*: адекватные организации с рачетом рисков сегодня имеют гибридную инфраструктуру и применяют как минимум несколько взаимозаменяемых отраслевых решений.

     
     
  • 5.21, Михрютка (ok), 20:25, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>>Этой байке лет 20 уже.

    и то верно, за 20 лет цифра 95% устарела, местами она уже давно 100%.

    например, в CAD.

    это легко проверить, пошерудив по вендорам коммерческих CAD систем.

     
     
  • 6.35, 67 (?), 11:12, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Помнится лет 15 назад мне один товарищ рассказывал, что у них там оракл базы данных и все серьезно, а линукс это какието любители, только вот оракл свою ось закопал, а новый дистрибутив - форкнул центос.

    Когда-то давно алхимики свои исследования тоже шифровали и от всех прятали, - и был это очень даже бизнес, только такой подход не привел ни к чему, и современные ит проприерасты ни к чему не придут, продавать крестьянам подкрашенную воду под видом элексира много ума не надо, и пока такие крестьяне будут это покупать, алхимия от ит будет процветать, ну пусть так, пусть плачут/платят и продолжают этот кактус есть.

    Тупости в современной цивилизации очень много и вопрос не в том - для каких осей пишут CAD, вопрос в том, есть ли у этой цивилизации будущее, а отсутствие/наличие свободных осей и cad'ов, это просто кирпичики, в будущем надгробии или пьедестале.

     
     
  • 7.36, Михрютка (ok), 14:31, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    чем больше в каменте воды тем он глубже
     
     
  • 8.55, Аноним (55), 21:14, 11/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    кнышки читаешь, что ли ... текст свёрнут, показать
     
  • 6.40, Аноним (-), 16:09, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > например, в CAD.

    Ващет CAD и под линух есть. В том числе и коммерческие. Более того - есть коммерческие проекты отрисованые в опенсорсных кадах.

     
     
  • 7.45, Михрютка (ok), 18:16, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> например, в CAD.
    > Ващет CAD и под линух есть. В том числе и коммерческие.

    мил человек, ты ведь не проверял, а так ляпнул.

    но валяй, отпишись, какие коммерческие cad поддерживают клиенты под linux. только копипастить из педивикии и прочих помоек не надо.

     
     
  • 8.47, asd (??), 19:04, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    навскидку - briscad ... текст свёрнут, показать
     
     
  • 9.48, Михрютка (ok), 22:53, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    лол навскидку - это минимум три системы _без_ гугля и если дела сильно не поменя... текст свёрнут, показать
     
     
  • 10.54, Аноним (54), 11:57, 11/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    DraftSight Enterprise ... текст свёрнут, показать
     
     
  • 11.56, Михрютка (ok), 22:13, 11/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    вранье в 2020 они _уже_ не поддерживали линукс клиент народ, вы ваще проверяет... текст свёрнут, показать
     
  • 4.52, Аноним (52), 12:11, 10/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 95% профессионального коммерческого софта под нее, начиная с Adobe Photoshop, 4% под MacOS, ну и под линь 1%, типа БД Oracle есть, так что линь не говно

    50% ЭмЭс Эйжура на Linux. Профессиональный, бытовой софт и Ваши чатики с фоточками давно уже плотно связаны с Linux.

     
  • 3.53, vasya (??), 17:48, 10/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ... гамать
     
  • 2.32, Аноним (32), 05:06, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    https://community.chocolatey.org/packages/mls-software-openssh
     
  • 2.37, Аноним (37), 15:15, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В винде довольно древняя версия, к тому же собранная с древним LibreSSL.

    Вообще, где-то была статья, что opensource-компоненты в винде в печальном состоянии и их не обновляют.

     

  • 1.3, Аноним (3), 13:43, 08/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >SFTP

    Чем он лучше FTPS?

     
     
  • 2.4, Аноним (4), 13:52, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    FTPS не следует путать с SFTP, он так же отличается и от FTP через SSH - передачи FTP данных и команд в защищённом SSH соединении.(c) вики
     
  • 2.5, Аноним (-), 13:52, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тем что он не FTP вообще.
     
  • 2.7, myhand (ok), 14:09, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чем FTPS.
     
  • 2.8, Аноним (8), 14:13, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    SFTP не открывает коннект на передачу каждого файла, а работает в рамках одного. Поэтому у него нет проблем с фаерволлами.
    Ну и все плюшки SSH транспорта (аутентификация по ключам/сертификатам, опциональная компрессия)
     
  • 2.12, Аноним (57), 15:37, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Чем OpenSSH лучше OpenTTD?
     
     
  • 3.14, Герострат Полуэктович (?), 16:34, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    OpenBSD лучше
     
     
  • 4.28, иван (??), 01:24, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как-то сказали\писали что сабж хорошо на старом железе работает. Купил спецом hp mini 2133 на via c7m-1600 под опен бсд 7. так acpitz мне почти на каждое вкл. пишет что cpu overheat 144 градуса. Зато термопасту поменял :)
    они там советуют батарею передернуть (помогает). железка в 2008 году свет увидела и что-то много вопросов возникает теперь...
     
     
  • 5.29, Аноним (57), 02:17, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    # config -ef /bsd
    > disable acpitz
    > quit
     
  • 5.30, Dark Amateur (?), 02:51, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты скажи, выдеодрайвер ней заработал, наконец? А то моя железка сгорела, так и не дождавшись нормального разрешения экрана из коробки в нормальных дистрибутивах.
     
  • 3.17, Annym (?), 17:57, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    в стиме не продается)
     
  • 2.25, Kuromi (ok), 22:37, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    FTPS - это обычный FTP поверх SSL, так же как HTTPS по отношению к HTTP. Тем не менее, нельзя не признать, что нагородили с названиями и протоколами в этой тебе знатно.
     

  • 1.9, InuYasha (??), 14:22, 08/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >> позволяющее копировать данные на стороне сервера, без транзитной отправки клиент

    wheee! )

    >>Квантовые компьютеры ещё не достигли уровня

    Давно уже достигли, только никому не показывают.

     
     
  • 2.13, Аноним (13), 15:48, 08/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Давно уже достигли, только никому не показывают.

    Власти скрывают... На самом деле, скоро смогут и очень к этому приближаются. Поэтому и вводят такие решения заранее.

     
     
  • 3.42, Аноним (-), 16:12, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А пруфца покажешь? А то пока никто даже не смог проверить толком работают ли оно вообще. Или джентльменам опять верят на слово?
     
     
  • 4.51, InuYasha (??), 10:15, 10/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вряд-ли в двух словах это объяснить. Ещё несколько лет как минимум пройдёт прежде чем дженерал паблик сможет осознать, что может существовать что-то не-фон-неймановское, а полу-эзотерическое как из кино. Например, в BPS уже много лет назад был тонкий намёк как выглядит КК в США.
     

  • 1.18, Аноним12345 (?), 18:44, 08/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Оно стало более тормознутое ?
     
  • 1.23, Ананоним (?), 21:49, 08/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    О, про квантовый бред поржал, благодарю!
     
  • 1.34, Аноним (-), 10:29, 09/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Выпустить то они выпустили. Есть вопрос по схеме согласования алгоритмнов шифрования и алгоритмов обмена ключами.
    Дело такое - берем wireshark и захватываем трафик между двумя машинами, которые соеденяются по ssh. И как ни странно машины договариваются вести  трафик обмена ключами по nistp256. Этот алгоритм вызывает много упреков, и подозрений о внедренном бэкдоре от АНБ. Софтина не желает использовать ed25519, хотя обе стороны его поддерживают на ура.
    Вобщем мура какая то.
     
     
  • 2.43, Ilya Indigo (ok), 16:32, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не достаточно просто поддерживать, приоритет должен быть выше чем у остальных.
    А лучше сервер настроить чтобы он поддерживал только ed25519 и chacha20/poly1305 и ничего больше, тогда уж наверняка.
     

  • 1.38, Смузихлёб (?), 15:22, 09/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Франкенштейн обросший костылями из legacy кода. Как бы давно пора отправить на пенсию сие творение вместе с автором.
     
     
  • 2.41, Аноним (-), 16:10, 09/04/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да вот смузихлебы замену лучше пока не смогли. Что ни пробовали - еще большая дрянь получается.
     

  • 1.44, Аноним (44), 17:43, 09/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как будет работать между разными версиями openssh где используется scp?
     
  • 1.58, Аноним (58), 13:52, 14/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вещь отличная, но когда начинается "connection reset by peer" то можно смело убиваться об стену.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру