OpenSSH 10.3: Bezpečnostní záplaty, dotazování agentů a nové sankce

Klíčové body:
  • Oprava zranitelnosti, která umožňovala spuštění libovolných příkazů manipulací s uživatelským jménem v direktivách pomocí %u v ssh_config.
  • Oprava v sshd, která zabrání certifikátům s prázdnou sekcí principals fungovat jako zástupné znaky pro přihlašování.
  • Příkaz ssh-add přidává volbu -Q pro kontrolu funkcí a rozšíření podporovaných agentem.
  • Nová možnost invaliduser v PerSourcePenalties pro přidání záměrného zpoždění při pokusu o přihlášení s neexistujícími uživateli.
  • Úniková sekvence ~I a nové příznaky multiplexování pro zobrazení podrobných informací o připojení a otevřených kanálech.
David Y. NaranjoAktualizováno dne

4 minut

OpenSSH poskytuje bohatou sadu funkcí bezpečného tunelování

Po šesti měsících intenzivního vývoje, OpenSSH verze 10.3, přední open-source implementace pro protokoly SSH 2.0 a SFTP.

Tato aktualizace nejen zavádí několik nových funkcí pro zlepšení správy připojení a agentů, ale také nasazuje bezpečnostní záplaty k odstranění zranitelností, které umožňovaly spuštění libovolného kódu v určitých konfiguracích.

Bezpečnostní náplasti: Prevence injekčního podání a certifikáty

Vývojový tým upřednostnil oprava zranitelnosti což, ačkoli záviselo na velmi specifických konfiguracích, představovalo nepřijatelné riziko pro integritu serveru.

Nejzávažnější problém byl vyřešen bydlel v zpožděné ověřování speciálních znaků zadaných uživatelem na příkazovém řádku utility ssh. Pokud byl systém nakonfigurován tak, aby v direktivách, jako například Match exec v souboru ssh_config, používal substituci %u, útočník, který by mohl ovládat přihlašovací uživatelské jméno (například vložením metaznaků) Mohlo by to donutit systém rozšířit tyto příkazy a spustit libovolné rutiny shellu. Před použitím substitucí v konfiguračním souboru se nyní provádí ověření.

Na straně serveru (sshd), Byla opravena chyba související s ověřováním certifikátů.Dříve, pokud byla volba `authorized_keys principals=""` použita ve spojení s certifikátem, který měl prázdný seznam principalů, systém tento prázdný certifikát považoval za zástupný znak platný pro libovolného uživatele. To znamenalo, že pokud certifikační autorita (CA) Pokud by omylem vydal prázdný certifikát, mohl by ho útočník použít k přihlášení jako jakýkoli uživatel systému. Od této chvíle je certifikát s prázdnými názvy systematicky odmítán.

Navíc, Drobné problémy byly opraveny, například chyba v klientovi scp (zděděná ze zastaralého programu rcp v Berkeley), která nevymazala oprávnění setuid/setgid při stahování souborů jako root s použitím staršího režimu (-O), a chyba v sshd, která akceptovala jakýkoli algoritmus ECDSA, pokud byl byť jen jeden z nich uveden v direktivách akceptovaných klíčů.

Nové funkce: Dotaz agenta, informace o spojení a sankce

Když pomineme bezpečnost, OpenSSH 10.3 rozšiřuje užitečnost svých nástrojů denně s novými možnostmi inspekce a řízení sítě.

Pro usnadnění interakce s SSH agenty (ssh-agent) byl implementoval rozšíření dotazů definované ve specifikaci IETF. To umožňuje utilitě ssh-add (s novou volbou -Q) přímo se dotazovat agenta a zjistit, která rozšíření protokolu podporuje, což zlepšuje kompatibilitu a vyjednávání mezi klientem a zprostředkovatelem klíčů.

Vylepšení se dočkala i inspekce tunelů a živých spojení. Uživatelé nyní mohou během aktivní relace používat escape sekvenci ~I.Alternativně můžete spustit multiplexní příkaz `ssh -O conninfo user@host` a získat tak podrobné informace o aktuálním připojení. Podobně příkaz `ssh -O channels` zobrazí komplexní zprávu o tom, které konkrétní kanály jsou aktuálně otevřené.

Na úrovni administrace serveru, sshd vylepšuje svou obranu proti hrubé síle a hlučnému skenování. Direktiva PerSourcePenalties nyní obsahuje volbu invaliduser. Pokud se útočník pokusí přihlásit s uživatelem, který v systému neexistuje, sshd automaticky použije zpoždění (ve výchozím nastavení 5 sekund) před odpovědí, čímž zpomalí hromadné slovníkové útoky. Dalším vylepšením je, že tyto časové penalizace nyní podporují desetinná čísla, což umožňuje v případě potřeby konfigurovat zpoždění kratší než jedna sekunda.

Konečně je posíleno kryptografické zabezpečení: nástroj ssh-keygen získal možnost zapisovat a exportovat klíče ED25519 v populárním formátu PKCS8 a prostřednictvím knihovny libcrypto byla přidána obecná podpora pro schéma digitálního podpisu ed25519.

Pokud zájem dozvědět se o tom více, můžete zkontrolovat podrobnosti v následující odkaz.

Jak nainstalovat OpenSSH na Linux?

Pro ty, kteří mají zájem o instalaci této nové verze OpenSSH do svých systémů, teď to mohou udělat stažení zdrojového kódu tohoto a provedení kompilace na svých počítačích.

Je to proto, že nová verze ještě nebyla zahrnuta do úložišť hlavních distribucí Linuxu. Chcete-li získat zdrojový kód, můžete to udělat z následující odkaz.

Dokončete stahování, nyní rozbalíme balíček pomocí následujícího příkazu:

tar -xvf openssh -10.3.tar.gz

Vstupujeme do vytvořeného adresáře:

cd openssh-10.3

Y můžeme sestavit s následující příkazy:

./configure --prefix = / opt --sysconfdir = / etc / ssh provést make install