OpenSSH 8.5 dolazi s UpdateHostKeys, popravcima i još mnogo toga

Nakon pet mjeseci razvoja, predstavljeno je izdanje OpenSSH 8.5 zajedno s kojima Programeri OpenSSH podsjetili su na predstojeći prelazak u kategoriju zastarjelih algoritama koji koriste SHA-1 heševe, zbog veće efikasnosti napada sudara s datim prefiksom (trošak izbora sudara procjenjuje se na oko 50 hiljada dolara).

U jednoj od narednih verzija, planiraju po defaultu onemogućiti mogućnost upotrebe algoritma digitalnog potpisa javnog ključa "ssh-rsa", koji se spominje u izvornom RFC-u za SSH protokol i još uvijek se široko koristi u praksi.

Da bi se ujednačio prelazak na nove algoritme u OpenSSH 8.5, konfiguracija UpdateHostKeys omogućen je prema zadanim postavkama, šta omogućuje vam automatsko prebacivanje klijenata na pouzdanije algoritme.

Ova postavka omogućava posebno proširenje protokola "hostkeys@openssh.com", koje omogućava serveru da nakon prolaska provjere autentičnosti obavijesti klijenta o svim dostupnim ključevima hosta. Klijent može odražavati ove ključeve u svojoj datoteci ~ / .ssh / known_hosts, što omogućava organiziranje ažuriranja ključa hosta i olakšava promjenu ključeva na serveru.

Sa druge strane, popravio ranjivost uzrokovanu ponovnim oslobađanjem već oslobođenog područja memorije u ssh-agentu. Problem je očit od izdavanja OpenSSH 8.2 i potencijalno bi se mogao iskoristiti ako napadač ima pristup ssh agent utičnici na lokalnom sistemu. Da kompliciramo, pristup utičnici imaju samo root i originalni korisnik. Najizgledniji scenarij napada je preusmjeravanje agenta na račun koji kontrolira napadač ili na host gdje napadač ima root pristup.

Takođe, sshd je dodao zaštitu od vrlo velikog prolaska parametara s korisničkim imenom za PAM podsistem, koji omogućava blokiranje ranjivosti u modulima PAM sistema (Priključni modul za provjeru autentičnosti). Na primjer, promjena sprečava sshd da se koristi kao vektor za iskorištavanje nedavno identificirane korijenske ranjivosti u Solarisu (CVE-2020-14871).

Za dio promjena koje potencijalno narušavaju kompatibilnost spomenuto je da ssh i sshd su preradili eksperimentalnu metodu razmjene ključeva koji je otporan na napade grube sile na kvantni računar.

Korištena metoda temelji se na algoritmu NTRU Prime razvijen za post-kvantne kriptosisteme i metodu razmjene ključeva eliptičke krivulje X25519. Umjesto sntrup4591761x25519-sha512@tinyssh.org, metoda je sada identificirana kao sntrup761x25519-sha512@openssh.com (algoritam sntrup4591761 zamijenjen je sntrup761).

Od ostalih promjena koje se ističu:

  • U ssh i sshd promijenjen je redoslijed oglašavanja podržanih algoritama digitalnog potpisa. Prvi je sada ED25519 umjesto ECDSA.
  • U ssh i sshd, TOS / DSCP QoS postavke za interaktivne sesije sada su postavljene prije uspostavljanja TCP veze.
  • Ssh i sshd prestali su podržavati šifriranje rijndael-cbc@lysator.liu.se, koje je identično aes256-cbc i korišteno je prije RFC-4253.
  • Ssh, prihvaćajući novi ključ hosta, osigurava prikazivanje svih imena hosta i IP adresa povezanih s ključem.
  • U ssh-u za FIDO ključeve pruža se ponovljeni zahtjev za PIN u slučaju neuspjeha u radu digitalnog potpisa zbog neispravnog PIN-a i nedostatka zahtjeva za PIN-om od korisnika (na primjer, kada nije bilo moguće dobiti ispravnu biometrijsku podataka i uređaj je ručno ponovo unio PIN).
  • Sshd dodaje podršku za dodatne sistemske pozive mehanizmu za testiranje u Sandcomu zasnovanom na seccomp-bpf u Linuxu.

Kako instalirati OpenSSH 8.5 na Linux?

Za one koje zanima mogućnost instaliranja ove nove verzije OpenSSH-a na svoje sisteme, za sada to mogu preuzimanje izvornog koda ovog i izvodeći kompilaciju na svojim računarima.

To je zato što nova verzija još nije uključena u spremišta glavnih Linux distribucija. Da biste dobili izvorni kod, možete to učiniti putem sljedeći link.

Završeno preuzimanje, sada ćemo raspakirati paket slijedećom naredbom:

tar -xvf openssh -8.5.tar.gz

Ulazimo u kreirani direktorij:

cd openssh-8.5

Y možemo kompajlirati sa sljedeće naredbe:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

Budite prvi koji komentarišete

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.