Setelah lima bulan pembangunan, rilis OpenSSH 8.5 disajikan bersama dengan yang mana Pengembang OpenSSH mengingat transfer mendatang ke kategori algoritme usang yang menggunakan hash SHA-1, karena efisiensi serangan tabrakan yang lebih besar dengan awalan yang diberikan (biaya pemilihan tabrakan diperkirakan sekitar 50 ribu dolar).
Di salah satu versi berikutnya, berencana menonaktifkan secara default kemampuan untuk menggunakan algoritme tanda tangan digital kunci publik "ssh-rsa", yang disebutkan dalam RFC asli untuk protokol SSH dan masih banyak digunakan dalam praktiknya.
Untuk memperlancar transisi ke algoritma baru di OpenSSH 8.5, konfigurasi UpdateHostKeys diaktifkan secara default, apa memungkinkan Anda secara otomatis mengalihkan klien ke algoritme yang lebih andal.
Pengaturan ini mengaktifkan ekstensi protokol khusus "hostkeys@openssh.com", yang memungkinkan server, setelah melewati otentikasi, untuk memberi tahu klien tentang semua kunci host yang tersedia. Klien dapat mencerminkan kunci ini dalam file ~ / .ssh / known_hosts mereka, yang memungkinkan pengorganisasian pembaruan kunci host dan memudahkan untuk mengubah kunci di server.
Selain itu, memperbaiki kerentanan yang disebabkan oleh membebaskan kembali area memori yang sudah dibebaskan di ssh-agent. Masalahnya telah terlihat sejak rilis OpenSSH 8.2 dan berpotensi dapat dieksploitasi jika penyerang memiliki akses ke soket agen ssh di sistem lokal. Untuk memperumit masalah, hanya root dan pengguna asli yang memiliki akses ke soket. Skenario serangan yang paling mungkin adalah mengarahkan agen ke akun yang dikendalikan oleh penyerang, atau ke host tempat penyerang memiliki akses root.
Selain itu, sshd telah menambahkan perlindungan terhadap pengoperan parameter yang sangat besar dengan nama pengguna untuk subsistem PAM, yaitu memungkinkan untuk memblokir kerentanan dalam modul sistem PAM (Modul Otentikasi Pluggable). Misalnya, perubahan tersebut mencegah sshd digunakan sebagai vektor untuk mengeksploitasi kerentanan root yang baru-baru ini diidentifikasi di Solaris (CVE-2020-14871).
Untuk bagian dari perubahan yang berpotensi merusak kompatibilitas disebutkan bahwa ssh dan sshd telah mengerjakan ulang metode pertukaran kunci eksperimental yang tahan terhadap serangan brute force pada komputer kuantum.
Metode yang digunakan didasarkan pada algoritma NTRU Prime dikembangkan untuk sistem kriptografi pasca-kuantum dan metode pertukaran kunci kurva elips X25519. Alih-alih sntrup4591761x25519-sha512@tinyssh.org, metode ini sekarang diidentifikasi sebagai sntrup761x25519-sha512@openssh.com (algoritme sntrup4591761 telah diganti dengan sntrup761).
Dari perubahan lain yang menonjol:
- Dalam ssh dan sshd, urutan iklan yang didukung algoritma tanda tangan digital telah diubah. Yang pertama sekarang adalah ED25519, bukan ECDSA.
- Dalam ssh dan sshd, setelan TOS / DSCP QoS untuk sesi interaktif sekarang disetel sebelum membuat koneksi TCP.
- Ssh dan sshd telah berhenti mendukung enkripsi rijndael-cbc@lysator.liu.se, yang identik dengan aes256-cbc dan digunakan sebelum RFC-4253.
- Ssh, dengan menerima kunci host baru, memastikan bahwa semua nama host dan alamat IP yang terkait dengan kunci tersebut ditampilkan.
- Dalam ssh untuk kunci FIDO, permintaan PIN berulang diberikan jika terjadi kegagalan dalam operasi tanda tangan digital karena PIN yang salah dan kurangnya permintaan PIN dari pengguna (misalnya, ketika tidak mungkin mendapatkan biometrik yang benar data dan perangkat secara manual memasukkan kembali PIN).
- Sshd menambahkan dukungan untuk panggilan sistem tambahan ke mekanisme sandboxing berbasis seccomp-bpf di Linux.
Bagaimana cara menginstal OpenSSH 8.5 di Linux?
Bagi mereka yang tertarik untuk dapat menginstal OpenSSH versi baru ini di sistem mereka, untuk saat ini mereka bisa melakukannya mengunduh kode sumber ini dan melakukan kompilasi di komputer mereka.
Ini karena versi baru belum dimasukkan ke dalam repositori distribusi Linux utama. Untuk mendapatkan source code, Anda bisa melakukannya dari link berikut.
Selesai mengunduh, sekarang kita akan mengekstrak paket dengan perintah berikut:
tar -xvf membukash-8.5.tar.gz
Kami memasuki direktori yang dibuat:
cd membukash-8.5
Y kita dapat mengkompilasi dengan perintah berikut:
./configure --prefix = / opt --sysconfdir = / etc / ssh buat instal