OpenSSH 8.0 ออกแล้ว แก้ช่องโหว่บน SCP

Theo de Raadt และทีมพัฒนา OpenBSD ได้ออกมาประกาศเปิดตัว OpenSSH 8.0 โดยมีการแก้ไขช่องโหว่บน SCP และทดลองใช้งาน Quantum Computing Resistant Key Exchange แล้ว

สำหรับช่องโหว่ที่ถูกแก้ไขไปนั้นก็คือการตรวจสอบชื่อ File ในฝั่งของ Client ว่า File ที่ทำการร้องขอกับ File ที่ Server ส่งมานั้นมีชื่อเดียวกันหรือไม่ ซึ่งเดิมทีในฝั่ง Client ไม่ได้มีการตรวจสอบชื่อ File นี้และช่องโหว่นี้อาจถูกนำไปใช้โจมตีจากฝั่ง Server ไปยัง Client ได้ โดยในอัปเดตครั้งนี้ก็ได้แก้ไขช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้ว

อย่างไรก็ดี ทางทีมพัฒนา OpenSSH เองก็ไม่แนะนำให้ใช้ SCP เนื่องจากเป็น Protocol ที่ล้าสมัยแล้ว และแนะนำให้ไปใช้ sftp, rsync หรือทางเลือกอื่นๆ แทน

นอกจากนี้ใน OpenSSH ยังได้มีการสนับสนุนการใช้ ECDSA Key ใน PKCS#11 Token ซึ่งเป็นวิธีการทำ Quantum Computing Resistant Key Exchange ในขั้นทดลอง โดยขนาดของ RSA Key แบบ Default จาก ssh-keygen นั้นก็ได้ถูกเพิ่มขึ้นเป็น 3072 Bit ด้วย และยังได้มีการเพิ่มออปชันใหม่อย่าง -v และมีการแก้ไขส่วนอื่นๆ อีกมากมาย

ผู้ที่สนใจรายละเอียดฉบับเต็มของ OpenSSH 8.0 สามารถศึกษาข้อมูลได้ที่ https://www.openssh.com/txt/release-8.0 และเยี่ยมชมเว็บไซต์ของ OpenSSH ได้ที่ https://www.openssh.com/

ที่มา: https://www.phoronix.com/scan.php?page=news_item&px=OpenSSH-8.0-Released