OpenSSH 8.5 ankommer med UpdateHostKeys, rettelser og mere

Efter fem måneders udvikling, introduceres frigivelsen af ​​OpenSSH 8.5 sammen med hvilken OpenSSH-udviklere mindede om den kommende overførsel til den kategori af forældede algoritmer, der bruger SHA-1-hashes, på grund af den større effektivitet af kollisionsangreb med et givet præfiks (omkostningerne ved valg af kollision estimeres til ca. 50 tusind dollars).

I en af ​​de næste versioner, planlægger at deaktivere som standard muligheden for at bruge den digitale nøglesignaturalgoritme "ssh-rsa", som er nævnt i den oprindelige RFC til SSH-protokollen og stadig er meget udbredt i praksis.

For at udjævne overgangen til nye algoritmer i OpenSSH 8.5, konfigurationen UpdateHostKeys er aktiveret som standard, hvad giver dig mulighed for automatisk at skifte klienter til mere pålidelige algoritmer.

Denne indstilling muliggør en speciel protokoludvidelse "hostkeys@openssh.com", som giver serveren mulighed for, efter godkendelse, at informere klienten om alle tilgængelige værtsnøgler. Klienten kan afspejle disse nøgler i sin ~ / .ssh / known_hosts-fil, hvilket muliggør organisering af værtsnøgleopdateringer og gør det let at ændre nøgler på serveren.

Endvidere fikset en sårbarhed forårsaget af genfrigørelse af et allerede frigivet hukommelsesområde i ssh-agent. Problemet har været tydeligt siden frigivelsen af ​​OpenSSH 8.2 og kunne potentielt udnyttes, hvis angriberen har adgang til ssh agent-stikket på det lokale system. For at komplicere tingene er det kun root og den oprindelige bruger, der har adgang til stikket. Det mest sandsynlige scenarie for et angreb er at omdirigere agenten til en konto, der kontrolleres af angriberen, eller til en vært, hvor angriberen har rodadgang.

Derudover sshd har tilføjet beskyttelse mod meget stor parameteroverføring med et brugernavn til PAM-undersystemet, hvilket gør det muligt at blokere sårbarheder i modulerne i PAM-systemet (Plugbart godkendelsesmodul). For eksempel forhindrer ændringen sshd i at blive brugt som en vektor til at udnytte en nyligt identificeret rodsårbarhed i Solaris (CVE-2020-14871).

For den del af ændringerne, der potentielt bryder kompatibilitet, nævnes det, at ssh og sshd har omarbejdet en eksperimentel nøgleudvekslingsmetode som er modstandsdygtig over for brutale kraftangreb på en kvantecomputer.

Den anvendte metode er baseret på NTRU Prime-algoritmen udviklet til post-quantum kryptosystemer og X25519 elliptisk kurve nøgleudvekslingsmetode. I stedet for sntrup4591761x25519-sha512@tinyssh.org er metoden nu identificeret som sntrup761x25519-sha512@openssh.com (algoritmen sntrup4591761 er blevet erstattet af sntrup761).

Af de andre ændringer, der skiller sig ud:

  • I ssh og sshd er rækkefølgen af ​​reklameunderstøttede digitale signaturalgoritmer blevet ændret. Den første er nu ED25519 i stedet for ECDSA.
  • I ssh og sshd er TOS / DSCP QoS-indstillinger for interaktive sessioner nu indstillet, før der oprettes en TCP-forbindelse.
  • Ssh og sshd er stoppet med at understøtte kryptering rijndael-cbc@lysator.liu.se, som er identisk med aes256-cbc og blev brugt før RFC-4253.
  • Ssh, ved at acceptere en ny værtsnøgle, sikrer, at alle værtsnavne og IP-adresser, der er knyttet til nøglen, vises.
  • I ssh for FIDO-nøgler leveres en gentagen PIN-anmodning i tilfælde af en fejl i den digitale signaturoperation på grund af en forkert PIN-kode og manglen på en PIN-anmodning fra brugeren (for eksempel når det ikke var muligt at opnå korrekt biometrisk data og enheden indtastede PIN-koden manuelt igen).
  • Sshd tilføjer understøttelse af yderligere systemopkald til den seccomp-bpf-baserede sandboxing-mekanisme i Linux.

Sådan installeres OpenSSH 8.5 på Linux?

For dem der er interesserede i at kunne installere denne nye version af OpenSSH på deres systemer, for nu kan de gøre det downloade kildekoden til dette og udfører kompilering på deres computere.

Dette skyldes, at den nye version endnu ikke er inkluderet i arkiverne til de vigtigste Linux-distributioner. For at få kildekoden kan du gøre fra følgende link.

Udførte download, nu skal vi pakke pakken ud med følgende kommando:

tar -xvf openssh-8.5.tar.gz

Vi går ind i den oprettede mappe:

cd openssh-8.5

Y vi kan kompilere med følgende kommandoer:

./configure --prefix = / opt --sysconfdir = / etc / ssh gør make install

Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.