OpenSSH 8.5 arriba amb UpdateHostKeys, correccions i mes

Després de cinc mesos de desenvolupament, Es presenta el llançament d'OpenSSH 8.5 juntament amb el qual els desenvolupadors d'OpenSSH van recordar la pròxima transferència a la categoria d'algoritmes obsolets que utilitzen hashes SHA-1, causa de la major eficiència dels atacs de col·lisió amb un prefix determinat (el cost de la selecció de col·lisió s'estima en uns 50 mil dòlars).

En una de les properes versions, Planegen desactivar per defecte la capacitat d'usar l'algorisme de signatura digital de clau pública «ssh-rsa», Que s'esmenta en el RFC original per al protocol SSH i segueix estant molt estès en la pràctica.

Per suavitzar la transició a nous algoritmes en OpenSSH 8.5, la configuració UpdateHostKeys està habilitada per defecte, El que permet canviar automàticament els clients a algoritmes més fiables.

Aquesta configuració habilita una extensió de protocol especial «hostkeys@openssh.com», que permet el servidor, després de passar l'autenticació, informar el client sobre totes les claus de host disponibles. El client pot reflectir aquestes claus en el seu arxiu ~ / .ssh / known_ hosts, el que permet organitzar les actualitzacions de claus d'amfitrió i facilita el canvi de claus al servidor.

D'altra banda, es va corregir una vulnerabilitat causada per tornar a alliberar una àrea de memòria ja alliberada en ssh-agent. El problema ha estat evident des del llançament d'OpenSSH 8.2 i podria potencialment explotar si l'atacant té accés a el sòcol de l'agent ssh al sistema local. Per complicar les coses, només el root i l'usuari original tenen accés a l'socket. L'escenari més probable d'un atac és redirigir a l'agent a un compte controlat per l'atacant, o un host en què l'atacant té accés de root.

A més, sshd ha afegit protecció contra el pas de paràmetres molt grans amb un nom d'usuari a l'subsistema PAM, el que permet bloquejar vulnerabilitats en els mòduls de sistema PAM (Pluggable Authentication Module). Per exemple, el canvi evita que sshd s'utilitzi com a vector per explotar una vulnerabilitat arran identificar recentment a Solaris (CVE-2020-14871).

Per la part dels canvis que potencialment trenquen la compatibilitat s'esmenta que ssh i sshd han reelaborat un mètode d'intercanvi de claus experimental que és resistent als atacs de força bruta en un ordinador quàntica.

El mètode utilitzat es basa en l'algoritme NTRU Prime desenvolupat per criptosistemes post-quàntics i el mètode d'intercanvi de claus de corba el·líptica X25519. En lloc de sntrup4591761x25519-sha512@tinyssh.org, el mètode ara s'identifica com sntrup761x25519-sha512@openssh.com (l'algoritme sntrup4591761 es va reemplaçar per sntrup761).

Dels altres canvis que es destaquen:

  • En ssh i sshd, s'ha canviat l'ordre d'anunciar els algoritmes de signatura digital compatibles. El primer és ara el ED25519 en lloc de ECDSA.
  • En ssh i sshd, la configuració de qualitat de servei de TOS / DSCP per a sessions interactives ara s'estableix abans d'establir una connexió TCP.
  • Ssh i sshd han deixat d'admetre el xifrat rijndael-cbc@lysator.liu.se, que és idèntic a l'AES256-cbc i es feia servir abans de RFC-4253.
  • Ssh, a l'acceptar una nova clau d'amfitrió, garanteix que es mostrin tots els noms de host i les adreces IP associades amb la clau.
  • En ssh per claus FIDO, es proporciona una sol·licitud de PIN repetida en cas d'una falla en l'operació de signatura digital a causa d'un PIN incorrecte i la manca d'una sol·licitud de PIN per part de l'usuari (per exemple, quan no va ser possible obtenir dades biomètriques correctes dades i el dispositiu va tornar a ingressar manualment el PIN).
  • Sshd afegeix suport per a trucades de sistema addicionals a l'mecanisme d'aïllament de processos basat en seccomp-BPF en Linux.

¿Com instal·lar OpenSSH 8.5 en Linux?

Per als que estiguin interessats en poder instal·lar aquesta nova versió d'OpenSSH en els seus sistemes, de moment podran fer-ho descarregant el codi font d'aquest i realitzant la compilació en els seus equips.

Això és degut al fet que la nova versió encara no s'ha inclòs dins dels repositoris de les principals distribucions de Linux. Per obtenir el codi font, pots fer des el següent enllaç.

Feta la descàrrega, ara anem a descomprimir el paquet amb la següent comanda:

tar -xvf openssh-8.5.tar.gz

Entrem a directori creat:

cd openssh-8.5

Y podrem realitzar la compilació amb les següents comandes:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.