OpenSSH 8.5 kommer med UpdateHostKeys, reparasjoner og mer

Etter fem måneders utviklingpresenteres utgivelsen av OpenSSH 8.5 sammen med hvilken OpenSSH-utviklere husket den kommende overføringen til kategorien foreldede algoritmer som bruker SHA-1-hashes, på grunn av større effektivitet av kollisjonsangrep med et gitt prefiks (kostnaden for kollisjonsvalget er estimert til omtrent 50 tusen dollar).

I en av de neste versjonene, planlegger å deaktivere muligheten for å bruke algoritmen for digital signatur for digital nøkkel "ssh-rsa", som er nevnt i den opprinnelige RFC for SSH-protokollen og fortsatt er mye brukt i praksis.

For å glatte overgangen til nye algoritmer i OpenSSH 8.5, konfigurasjonen UpdateHostKeys er aktivert som standard, hva lar deg automatisk bytte klienter til mer pålitelige algoritmer.

Denne innstillingen muliggjør en spesiell protokollutvidelse "hostkeys@openssh.com", som lar serveren, etter bestått godkjenning, informere klienten om alle tilgjengelige vertsnøkler. Klienten kan reflektere disse nøklene i ~ / .ssh / known_hosts-filen, noe som gjør det mulig å organisere vertsnøkkeloppdateringer og gjør det enkelt å endre nøkler på serveren.

Videre fikset et sårbarhet forårsaket av å frigjøre et allerede frigjort minneområde i ssh-agent. Problemet har vært tydelig siden utgivelsen av OpenSSH 8.2 og kan potensielt utnyttes hvis angriperen har tilgang til ssh agent-kontakten på det lokale systemet. For å komplisere ting er det bare root og den opprinnelige brukeren som har tilgang til kontakten. Det mest sannsynlige scenariet for et angrep er å omdirigere agenten til en konto som kontrolleres av angriperen, eller til en vert der angriperen har root-tilgang.

Videre sshd har lagt til beskyttelse mot veldig stor parameteroverføring med et brukernavn til PAM-delsystemet, som gjør det mulig å blokkere sårbarheter i modulene i PAM-systemet (Pluggbar godkjenningsmodul). Endringen forhindrer for eksempel at sshd ikke brukes som en vektor for å utnytte en nylig identifisert rotsårbarhet i Solaris (CVE-2020-14871).

For den delen av endringene som potensielt bryter kompatibiliteten, nevnes at ssh og sshd har omarbeidet en eksperimentell nøkkelutvekslingsmetode som er motstandsdyktig mot brute force-angrep på en kvantecomputer.

Metoden som brukes er basert på NTRU Prime-algoritmen utviklet for post-kvante kryptosystemer og X25519 elliptisk kurve nøkkel utvekslingsmetode. I stedet for sntrup4591761x25519-sha512@tinyssh.org er metoden nå identifisert som sntrup761x25519-sha512@openssh.com (algoritmen sntrup4591761 er erstattet av sntrup761).

Av de andre endringene som skiller seg ut:

  • I ssh og sshd er rekkefølgen for reklame som støttes algoritmer for digital signatur blitt endret. Den første er nå ED25519 i stedet for ECDSA.
  • I ssh og sshd er TOS / DSCP QoS-innstillinger for interaktive økter nå satt før du oppretter en TCP-forbindelse.
  • Ssh og sshd har sluttet å støtte kryptering rijndael-cbc@lysator.liu.se, som er identisk med aes256-cbc og ble brukt før RFC-4253.
  • Ssh, ved å godta en ny vertsnøkkel, sikrer at alle vertsnavn og IP-adresser tilknyttet nøkkelen vises.
  • I ssh for FIDO-nøkler gis en gjentatt PIN-forespørsel i tilfelle en feil i den digitale signaturoperasjonen på grunn av feil PIN og mangel på en PIN-forespørsel fra brukeren (for eksempel når det ikke var mulig å oppnå riktig biometrisk data og enheten angav PIN-koden manuelt på nytt).
  • Sshd legger til støtte for ekstra systemanrop til den seccomp-bpf-baserte sandkassemekanismen i Linux.

Hvordan installerer jeg OpenSSH 8.5 på Linux?

For de som er interessert i å kunne installere denne nye versjonen av OpenSSH på sine systemer, for nå kan de gjøre det laste ned kildekoden til dette og utføre samlingen på datamaskinene sine.

Dette er fordi den nye versjonen ennå ikke er inkludert i repositoriene til de viktigste Linux-distribusjonene. For å få kildekoden, kan du gjøre fra følgende lenke.

Gjort nedlastingen, nå skal vi pakke ut pakken med følgende kommando:

tar -xvf openssh -8.5.tar.gz

Vi går inn i den opprettede katalogen:

cd openssh-8.5

Y vi kan kompilere med følgende kommandoer:

./configure --prefix = / opt --sysconfdir = / etc / ssh gjør installer

Innholdet i artikkelen følger våre prinsipper for redaksjonell etikk. Klikk på for å rapportere en feil her.

Bli den første til å kommentere

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.