Nakon pet mjeseci razvoja, predstavljeno je izdanje OpenSSH 8.5 zajedno s kojima Programeri OpenSSH podsjetili su na predstojeći prelazak u kategoriju zastarjelih algoritama koji koriste SHA-1 hasheve, zbog veće učinkovitosti napada sudara s danim prefiksom (trošak odabira sudara procjenjuje se na oko 50 tisuća dolara).
U jednoj od sljedećih verzija, planiraju po defaultu onemogućiti mogućnost upotrebe algoritma digitalnog potpisa javnog ključa "ssh-rsa", koji se spominje u izvornom RFC-u za SSH protokol i još uvijek je vrlo raširen u praksi.
Da bi se ujednačio prijelaz na nove algoritme u OpenSSH 8.5, konfiguracija UpdateHostKeys omogućen je prema zadanim postavkama, što omogućuje vam automatsko prebacivanje klijenata na pouzdanije algoritme.
Ova postavka omogućuje posebno proširenje protokola "hostkeys@openssh.com", koje omogućuje poslužitelju da nakon prolaska provjere autentičnosti obavijesti klijenta o svim dostupnim ključevima hosta. Klijent može prikazati ove ključeve u svojoj datoteci ~ / .ssh / known_hosts, što omogućuje organiziranje ažuriranja ključa hosta i olakšava promjenu ključeva na poslužitelju.
Štoviše, popravio ranjivost uzrokovanu ponovnim oslobađanjem već oslobođenog područja memorije u ssh-agentu. Problem je očit od izdavanja OpenSSH 8.2 i mogao bi se iskoristiti ako napadač ima pristup utičnici ssh agent na lokalnom sustavu. Da kompliciramo, pristup utičnici imaju samo root i izvorni korisnik. Najizgledniji scenarij napada je preusmjeravanje agenta na račun koji kontrolira napadač ili na domaćina gdje napadač ima root pristup.
Osim toga, sshd je dodao zaštitu od vrlo velikog prolaska parametara s korisničkim imenom za podsustav PAM, koji omogućuje blokiranje ranjivosti u modulima PAM sustava (Priključni modul za provjeru autentičnosti). Na primjer, promjena sprečava upotrebu sshd-a kao vektora za iskorištavanje nedavno identificirane korijenske ranjivosti u Solarisu (CVE-2020-14871).
Za dio promjena koje potencijalno narušavaju kompatibilnost spominje se da ssh i sshd preradili su eksperimentalnu metodu razmjene ključeva koji je otporan na napade grubom silom na kvantno računalo.
Korištena metoda temelji se na algoritmu NTRU Prime razvijen za postkvantne kriptosustave i metodu razmjene ključeva eliptičke krivulje X25519. Umjesto sntrup4591761x25519-sha512@tinyssh.org, metoda je sada identificirana kao sntrup761x25519-sha512@openssh.com (algoritam sntrup4591761 zamijenjen je sntrup761).
Od ostalih istaknutih promjena:
- U ssh i sshd promijenjen je redoslijed oglašavanja podržanih algoritama digitalnog potpisa. Prvi je sada ED25519 umjesto ECDSA.
- U ssh i sshd postavke TOS / DSCP QoS za interaktivne sesije sada su postavljene prije uspostavljanja TCP veze.
- Ssh i sshd prestali su podržavati šifriranje rijndael-cbc@lysator.liu.se, koje je identično aes256-cbc i koristilo se prije RFC-4253.
- Ssh, prihvaćajući novi ključ hosta, osigurava prikaz svih imena hosta i IP adresa povezanih s ključem.
- U ssh za FIDO tipke pruža se ponovljeni zahtjev za PIN u slučaju neuspjeha u radu digitalnog potpisa zbog netočnog PIN-a i nedostatka zahtjeva za PIN-om od korisnika (na primjer, kada nije bilo moguće dobiti točan biometrijskih podataka i uređaj je ručno ponovno unio PIN).
- Sshd dodaje podršku za dodatne sistemske pozive mehanizmu za testiranje testiranja na temelju seccomp-bpf na Linuxu.
Kako instalirati OpenSSH 8.5 na Linux?
Za one koji su zainteresirani za mogućnost instaliranja ove nove verzije OpenSSH-a na svoje sustave, zasad to mogu učiniti preuzimanje izvornog koda ovog i izvodeći kompilaciju na svojim računalima.
To je zato što nova verzija još nije uključena u spremišta glavnih distribucija Linuxa. Da biste dobili izvorni kod, to možete učiniti iz sljedeći link.
Završeno preuzimanje, sada ćemo raspakirati paket slijedećom naredbom:
tar -xvf openssh -8.5.tar.gz
Ulazimo u kreirani direktorij:
cd openssh-8.5
Y možemo sastaviti sa sljedeće naredbe:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install