OpenSSH 8.5 arriveert met UpdateHostKeys, fixes en meer

Darkcrizt

4 minuten

Na vijf maanden ontwikkelingwordt de release van OpenSSH 8.5 gepresenteerd samen met welke OpenSSH-ontwikkelaars herinnerden zich de aanstaande overgang naar de categorie van verouderde algoritmen die SHA-1-hashes gebruiken, vanwege de grotere efficiëntie van aanvaringsaanvallen met een bepaald voorvoegsel (de kosten van de aanvaringsselectie worden geschat op ongeveer 50 duizend dollar).

In een van de volgende versies, zijn van plan om de mogelijkheid om het algoritme voor digitale handtekeningen met openbare sleutel 'ssh-rsa' te gebruiken, standaard uit te schakelen, dat wordt vermeld in de oorspronkelijke RFC voor het SSH-protocol en in de praktijk nog steeds veel wordt gebruikt.

Om de overgang naar nieuwe algoritmen in OpenSSH 8.5 soepel te laten verlopen, moet de configuratie UpdateHostKeys is standaard ingeschakeld, wat stelt u in staat om automatisch clients over te schakelen naar betrouwbaardere algoritmen.

Deze instelling maakt een speciale protocolextensie "hostkeys@openssh.com" mogelijk, waarmee de server, na authenticatie te hebben doorstaan, de client kan informeren over alle beschikbare hostsleutels. De client kan deze sleutels weergeven in hun ~ / .ssh / known_hosts-bestand, wat het organiseren van host-sleutelupdates mogelijk maakt en het gemakkelijk maakt om sleutels op de server te wijzigen.

Daarnaast is een kwetsbaarheid verholpen die werd veroorzaakt door het opnieuw vrijmaken van een reeds vrijgemaakt geheugengebied in ssh-agent. Het probleem is duidelijk sinds de release van OpenSSH 8.2 en kan mogelijk worden misbruikt als de aanvaller toegang heeft tot de ssh-agent-socket op het lokale systeem. Om de zaken nog ingewikkelder te maken, hebben alleen de root en de oorspronkelijke gebruiker toegang tot de socket. Het meest waarschijnlijke scenario van een aanval is dat de agent wordt omgeleid naar een account dat wordt beheerd door de aanvaller, of naar een host waar de aanvaller roottoegang heeft.

Bovendien heeft sshd heeft bescherming toegevoegd tegen het doorgeven van zeer grote parameters met een gebruikersnaam voor het PAM-subsysteem, dat laat toe om kwetsbaarheden in de modules van het PAM-systeem te blokkeren (Pluggable Authentication Module). De wijziging voorkomt bijvoorbeeld dat sshd wordt gebruikt als een vector om een ​​recentelijk geïdentificeerde root-kwetsbaarheid in Solaris (CVE-2020-14871) te misbruiken.

Voor het deel van de wijzigingen dat mogelijk de compatibiliteit verbreekt, wordt vermeld dat ssh en sshd hebben een experimentele methode voor sleuteluitwisseling herwerkt die bestand is tegen brute force-aanvallen op een kwantumcomputer.

De gebruikte methode is gebaseerd op het NTRU Prime-algoritme ontwikkeld voor post-quantum cryptosystemen en de X25519 elliptische curve sleuteluitwisselingsmethode. In plaats van sntrup4591761x25519-sha512@tinyssh.org wordt de methode nu geïdentificeerd als sntrup761x25519-sha512@openssh.com (algoritme sntrup4591761 is vervangen door sntrup761).

Van de andere veranderingen die opvallen:

  • In ssh en sshd is de volgorde van door advertenties ondersteunde algoritmen voor digitale handtekeningen gewijzigd. De eerste is nu ED25519 in plaats van ECDSA.
  • In ssh en sshd zijn de TOS / DSCP QoS-instellingen voor interactieve sessies nu ingesteld voordat een TCP-verbinding tot stand wordt gebracht.
  • Ssh en sshd ondersteunen de rijndael-cbc@lysator.liu.se-codering niet meer, die identiek is aan aes256-cbc en werd gebruikt vóór RFC-4253.
  • Door een nieuwe hostsleutel te accepteren, zorgt Ssh ervoor dat alle hostnamen en IP-adressen die aan de sleutel zijn gekoppeld, worden weergegeven.
  • In ssh voor FIDO-sleutels wordt een herhaald pincodeverzoek verstrekt in geval van een storing in de digitale handtekeningbewerking als gevolg van een onjuiste pincode en het ontbreken van een pincodeverzoek van de gebruiker (bijvoorbeeld wanneer het niet mogelijk was om de juiste biometrische gegevens te verkrijgen). gegevens en het apparaat heeft de pincode handmatig opnieuw ingevoerd).
  • Sshd voegt ondersteuning toe voor extra systeemaanroepen aan het op seccomp-bpf gebaseerde sandbox-mechanisme in Linux.

Hoe installeer ik OpenSSH 8.5 op Linux?

Voor degenen die geïnteresseerd zijn om deze nieuwe versie van OpenSSH op hun systemen te kunnen installeren, voor nu kunnen ze het doen het downloaden van de broncode van deze en het uitvoeren van de compilatie op hun computers.

Dit komt doordat de nieuwe versie nog niet is opgenomen in de repositories van de belangrijkste Linux-distributies. Om de broncode te krijgen, kunt u doen van de volgende link.

Klaar met downloaden, nu gaan we het pakket uitpakken met het volgende commando:

tar -xvf openssh-8.5.tar.gz

We gaan de aangemaakte directory binnen:

cd opentsh-8.5

Y waarmee we kunnen compileren de volgende commando's:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.