OpenSSH 8.5 chega con UpdateHostKeys, correccións e moito máis

Despois de cinco meses de desenvolvemento, preséntase a versión de OpenSSH 8.5 xunto co cal Os desenvolvedores de OpenSSH recordaron a próxima transferencia á categoría de algoritmos obsoletos que usan hashes SHA-1, debido á maior eficiencia dos ataques de colisión cun prefixo dado (o custo da selección de colisión estímase nuns 50 mil dólares).

Nunha das seguintes versións, planea desactivar por defecto a posibilidade de usar o algoritmo de sinatura dixital de clave pública "ssh-rsa", que se menciona na RFC orixinal para o protocolo SSH e aínda se usa moito na práctica.

Para suavizar a transición a novos algoritmos en OpenSSH 8.5, a configuración UpdateHostKeys está habilitado de xeito predeterminado, que permítelle cambiar automaticamente os clientes a algoritmos máis fiables.

Esta configuración habilita unha extensión de protocolo especial "hostkeys@openssh.com", que permite ao servidor, despois de pasar a autenticación, informar ao cliente de todas as claves de host dispoñibles. O cliente pode reflectir estas claves no seu ficheiro ~ / .ssh / known_hosts, que permite organizar as actualizacións de claves de host e facilita o cambio de claves no servidor.

Por outra banda, corrixiu unha vulnerabilidade causada por liberar de novo unha área de memoria xa liberada en axente ssh. O problema foi evidente desde o lanzamento de OpenSSH 8.2 e podería explotarse potencialmente se o atacante ten acceso ao socket do axente ssh no sistema local. Para complicar as cousas, só root e o usuario orixinal teñen acceso ao socket. O escenario máis probable dun ataque é redirixir o axente a unha conta controlada polo atacante ou a un host onde o atacante ten acceso root.

Ademais, sshd engadiu protección contra o paso de parámetros moi grande cun nome de usuario ao subsistema PAM, que permite bloquear vulnerabilidades nos módulos do sistema PAM (Módulo de autenticación enchufable). Por exemplo, o cambio impide que sshd se use como vector para explotar unha vulnerabilidade raíz identificada recentemente en Solaris (CVE-2020-14871).

Pola parte dos cambios que potencialmente rompen a compatibilidade menciónase que o ssh e sshd reelaboraron un método experimental de intercambio de claves que é resistente aos ataques de forza bruta nun ordenador cuántico.

O método empregado baséase no algoritmo NTRU Prime desenvolvido para criptosistemas poscuánticos e o método de intercambio de claves de curva elíptica X25519. En lugar de sntrup4591761x25519-sha512@tinyssh.org, o método agora identifícase como sntrup761x25519-sha512@openssh.com (o algoritmo sntrup4591761 foi substituído por sntrup761).

Dos outros cambios que destacan:

  • En ssh e sshd cambiouse a orde de publicidade de algoritmos de sinatura dixital. O primeiro agora é ED25519 en lugar de ECDSA.
  • En ssh e sshd, a configuración de QOS de TOS / DSCP para sesións interactivas agora está configurada antes de establecer unha conexión TCP.
  • Ssh e sshd deixaron de soportar o cifrado rijndael-cbc@lysator.liu.se, que é idéntico a aes256-cbc e usábase antes do RFC-4253.
  • Ssh, ao aceptar unha nova clave de host, garante que se mostren todos os nomes de host e enderezos IP asociados á clave.
  • En ssh para as claves FIDO, fornécese unha solicitude de PIN repetida en caso de fallo na operación de sinatura dixital debido a un PIN incorrecto e á falta dunha solicitude de PIN do usuario (por exemplo, cando non foi posible obter biométricos correctos os datos e o dispositivo volveron introducir manualmente o PIN).
  • Sshd engade soporte para chamadas de sistema adicionais ao mecanismo de sandbox baseado en seccomp-bpf en Linux.

Como instalar OpenSSH 8.5 en Linux?

Para aqueles que estean interesados ​​en poder instalar esta nova versión de OpenSSH nos seus sistemas, de momento poden facelo descargando o código fonte deste e realizando a recompilación nos seus ordenadores.

Isto débese a que a nova versión aínda non se incluíu nos repositorios das principais distribucións de Linux. Para obter o código fonte, podes facelo desde a seguinte ligazón.

Feito a descarga, agora imos descomprimir o paquete co seguinte comando:

tar -xvf openssh-8.5.tar.gz

Introducimos o directorio creado:

cd openssh-8.5

Y podemos compilar con os seguintes comandos:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.