След пет месеца развитие, представя се изданието на OpenSSH 8.5 заедно с които Разработчиците на OpenSSH припомниха предстоящия трансфер в категорията на остарели алгоритми, които използват хешове SHA-1, поради по-голямата ефективност на сблъсъчните атаки с даден префикс (цената на избора на сблъсък се оценява на около 50 хиляди долара).
В една от следващите версии, планирате да деактивирате по подразбиране възможността да използвате алгоритъма за цифров подпис с публичен ключ "ssh-rsa", който се споменава в оригиналния RFC за SSH протокола и все още се използва широко на практика.
За да се изглади преходът към нови алгоритми в OpenSSH 8.5, конфигурацията UpdateHostKeys е активиран по подразбиране, Какво ви позволява автоматично да превключвате клиентите към по-надеждни алгоритми.
Тази настройка позволява специално разширение за протокол "hostkeys@openssh.com", което позволява на сървъра, след преминаване на удостоверяване, да информира клиента за всички налични ключове на хоста. Клиентът може да отразява тези ключове в техния файл ~ / .ssh / known_hosts, което позволява организиране на актуализации на ключови хостове и улеснява смяната на ключовете на сървъра.
Освен това, коригира уязвимост, причинена от повторно освобождаване на вече освободена област на паметта в ssh-агент. Проблемът е очевиден от пускането на OpenSSH 8.2 и потенциално може да бъде използван, ако нападателят има достъп до сокета на ssh агент в локалната система. За да усложни нещата, достъп до сокета имат само root и оригиналният потребител. Най-вероятният сценарий на атака е пренасочването на агента към акаунт, контролиран от нападателя, или към хост, където нападателят има корен достъп.
Освен това, sshd е добавил защита срещу преминаване на много големи параметри с потребителско име към подсистемата PAM, която позволява да се блокират уязвимости в модулите на PAM системата (Вграден модул за удостоверяване). Например промяната предотвратява използването на sshd като вектор за използване на наскоро идентифицирана коренна уязвимост в Solaris (CVE-2020-14871).
За частта от промените, които потенциално нарушават съвместимостта, се споменава, че ssh и sshd са преработили експериментален метод за обмен на ключове който е устойчив на атаки с груба сила на квантов компютър.
Използваният метод се основава на алгоритъма NTRU Prime разработен за пост-квантови криптосистеми и метод за обмен на ключове за елиптична крива X25519. Вместо sntrup4591761x25519-sha512@tinyssh.org, методът вече е идентифициран като sntrup761x25519-sha512@openssh.com (алгоритъмът на sntrup4591761 е заменен от sntrup761).
От останалите промени, които се открояват:
- В ssh и sshd редът на рекламираните алгоритми за цифров подпис е променен. Първият вече е ED25519 вместо ECDSA.
- В ssh и sshd, TOS / DSCP QoS настройките за интерактивни сесии вече са зададени преди да се установи TCP връзка.
- Ssh и sshd са спрели да поддържат криптирането rijndael-cbc@lysator.liu.se, което е идентично с aes256-cbc и е било използвано преди RFC-4253.
- Ssh, като приема нов хостов ключ, гарантира, че се показват всички имена на хостове и IP адреси, свързани с ключа.
- В ssh за FIDO ключове се предоставя повторна заявка за ПИН в случай на неуспех в операцията за цифров подпис поради неправилен ПИН и липса на ПИН заявка от потребителя (например, когато не е било възможно да се получи правилна биометрична данни и устройството въведе ръчно ПИН кода).
- Sshd добавя поддръжка за допълнителни системни обаждания към механизма за изолиране на базата на seccomp-bpf в Linux.
Как да инсталирам OpenSSH 8.5 на Linux?
За тези, които се интересуват от възможността да инсталират тази нова версия на OpenSSH на своите системи, засега те могат да го направят изтегляне на изходния код на това и извършване на компилацията на техните компютри.
Това е така, защото новата версия все още не е включена в хранилищата на основните дистрибуции на Linux. За да получите изходния код, можете да направите от следната връзка.
Извършено изтегляне, сега ще разархивираме пакета със следната команда:
tar -xvf openssh -8.5.tar.gz
Въвеждаме създадената директория:
CD openssh-8.5
Y можем да компилираме с следните команди:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install