OpenSSH 8.0 ออกแล้ว แก้ช่องโหว่บน SCP

Theo de Raadt และทีมพัฒนา OpenBSD ได้ออกมาประกาศเปิดตัว OpenSSH 8.0 โดยมีการแก้ไขช่องโหว่บน SCP และทดลองใช้งาน Quantum Computing Resistant Key Exchange แล้ว

Credit: OpenSSH

สำหรับช่องโหว่ที่ถูกแก้ไขไปนั้นก็คือการตรวจสอบชื่อ File ในฝั่งของ Client ว่า File ที่ทำการร้องขอกับ File ที่ Server ส่งมานั้นมีชื่อเดียวกันหรือไม่ ซึ่งเดิมทีในฝั่ง Client ไม่ได้มีการตรวจสอบชื่อ File นี้และช่องโหว่นี้อาจถูกนำไปใช้โจมตีจากฝั่ง Server ไปยัง Client ได้ โดยในอัปเดตครั้งนี้ก็ได้แก้ไขช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้ว

อย่างไรก็ดี ทางทีมพัฒนา OpenSSH เองก็ไม่แนะนำให้ใช้ SCP เนื่องจากเป็น Protocol ที่ล้าสมัยแล้ว และแนะนำให้ไปใช้ sftp, rsync หรือทางเลือกอื่นๆ แทน

นอกจากนี้ใน OpenSSH ยังได้มีการสนับสนุนการใช้ ECDSA Key ใน PKCS#11 Token ซึ่งเป็นวิธีการทำ Quantum Computing Resistant Key Exchange ในขั้นทดลอง โดยขนาดของ RSA Key แบบ Default จาก ssh-keygen นั้นก็ได้ถูกเพิ่มขึ้นเป็น 3072 Bit ด้วย และยังได้มีการเพิ่มออปชันใหม่อย่าง -v และมีการแก้ไขส่วนอื่นๆ อีกมากมาย

ผู้ที่สนใจรายละเอียดฉบับเต็มของ OpenSSH 8.0 สามารถศึกษาข้อมูลได้ที่ https://www.openssh.com/txt/release-8.0 และเยี่ยมชมเว็บไซต์ของ OpenSSH ได้ที่ https://www.openssh.com/

ที่มา: https://www.phoronix.com/scan.php?page=news_item&px=OpenSSH-8.0-Released


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] Aruba แนะโรงงานอุตสาหกรรมใช้ AIOps ผนวก IT กับ OT ให้เป็นหนึ่งเดียวฝ่าอุปสรรคหลังยุคโควิด

โดย Kwong Hui Tan, ผู้อำนวยการประจำภูมิภาค, เอเชียตะวันออกเฉียงใต้, ไต้หวัน และฮ่องกง/มาเก๊า แห่ง Aruba บริษัทในเครือฮิวเล็ตแพ็กการ์ดเอ็นเตอร์ไพรส์ 

[Guest Post] ONEWEB Customer Spotlights

Unlocking the Power of Low-Code Platform through customer use cases and experiences June 20th, 2022