OpenSSH 8.5には、UpdateHostKeys、修正などが付属しています。

開発のXNUMXヶ月後、OpenSSH8.5のリリースが提示されます それに沿って OpenSSH開発者は、SHA-1ハッシュを使用する廃止されたアルゴリズムのカテゴリへの今後の移行を思い出しました。 特定のプレフィックスを使用した衝突攻撃の効率が高いためです(衝突選択のコストは約50万ドルと見積もられています)。

次のバージョンのXNUMXつで、公開鍵デジタル署名アルゴリズム「ssh-rsa」を使用する機能をデフォルトで無効にすることを計画します、これはSSHプロトコルの元のRFCで言及されており、実際にはまだ非常に普及しています。

OpenSSH 8.5の新しいアルゴリズムへの移行をスムーズにするために、構成 UpdateHostKeysはデフォルトで有効になっています、 何 クライアントをより信頼性の高いアルゴリズムに自動的に切り替えることができます。

この設定により、特別なプロトコル拡張「hostkeys@openssh.com」が有効になります。これにより、サーバーは認証に合格した後、使用可能なすべてのホストキーをクライアントに通知できます。 クライアントは、これらのキーを〜/ .ssh / known_hostsファイルに反映できます。これにより、ホストキーの更新を整理し、サーバー上のキーを簡単に変更できます。

また、 すでに解放されたメモリ領域を再解放することによって引き起こされる脆弱性を修正しました ssh-agentで。 この問題はOpenSSH8.2のリリース以降明らかであり、攻撃者がローカルシステムのsshエージェントソケットにアクセスできる場合、悪用される可能性があります。 厄介なことに、rootと元のユーザーだけがソケットにアクセスできます。 攻撃の最も可能性の高いシナリオは、攻撃者によって制御されているアカウント、または攻撃者がルートアクセス権を持っているホストにエージェントをリダイレクトすることです。

さらに、 sshdは、非常に大きなパラメーターの受け渡しに対する保護を追加しました PAMサブシステムへのユーザー名を使用します。 PAMシステムのモジュールの脆弱性をブロックできます (Pluggable Authentication Module)。 たとえば、この変更により、Solarisで最近特定されたルートの脆弱性(CVE-2020-14871)を悪用するためのベクターとしてsshdが使用されることが防止されます。

互換性を損なう可能性のある変更の一部については、shとsshdは、実験的な鍵交換方法を作り直しました これは、量子コンピューターへのブルートフォース攻撃に耐性があります。

使用される方法は、NTRUプライムアルゴリズムに基づいています ポスト量子暗号システムおよびX25519楕円曲線鍵交換方式用に開発されました。 sntrup4591761x25519-sha512@tinyssh.orgの代わりに、メソッドはsntrup761x25519-sha512@openssh.comとして識別されるようになりました(sntrup4591761アルゴリズムはsntrup761に置き換えられました)。

目立つ他の変更のうち:

  • sshおよびsshdでは、サポートされているデジタル署名アルゴリズムのアドバタイズの順序が変更されました。 25519つ目はECDSAではなくEDXNUMXになりました。
  • sshおよびsshdでは、TCP接続を確立する前にインタラクティブセッションのTOS / DSCPQoS設定が設定されるようになりました。
  • Sshとsshdは、rijndael-cbc @ lysator.liu.se暗号化のサポートを停止しました。これは、aes256-cbcと同じで、RFC-4253より前に使用されていました。
  • Sshは、新しいホストキーを受け入れることにより、キーに関連付けられているすべてのホスト名とIPアドレスが表示されるようにします。
  • FIDOキーのsshでは、PINが正しくないためにデジタル署名操作が失敗した場合や、ユーザーからのPIN要求がない場合(たとえば、正しいものを取得できなかった場合)に、PIN要求が繰り返されます。生体認証データとデバイスが手動でPINを再入力しました)。
  • Sshdは、Linux上のseccomp-bpfベースのサンドボックスメカニズムに追加のシステムコールのサポートを追加します。

LinuxにOpenSSH8.5をインストールするにはどうすればよいですか?

この新しいバージョンのOpenSSHをシステムにインストールできるようにすることに関心がある人は、 今のところ彼らはそれを行うことができます これのソースコードをダウンロードして コンピューターでコンパイルを実行します。

これは、新しいバージョンがメインのLinuxディストリビューションのリポジトリにまだ含まれていないためです。 ソースコードを取得するには、 次のリンク.

ダウンロードを完了し、 次に、次のコマンドを使用してパッケージを解凍します。

tar -xvf openssh-8.5.tar.gz

作成したディレクトリに入ります。

cdopenssh-8.5

Y でコンパイルできます 次のコマンド:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

コメントを最初に

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。