Po pięciu miesiącach rozwoju, zaprezentowano wydanie OpenSSH 8.5 wraz z którym Twórcy OpenSSH przypomnieli o zbliżającym się przejściu do kategorii przestarzałych algorytmów wykorzystujących hashe SHA-1, ze względu na większą skuteczność ataków kolizyjnych z danym prefiksem (koszt selekcji kolizji szacowany jest na ok. 50 tys. dolarów).
W jednej z kolejnych wersji, planuje się domyślnie wyłączyć możliwość korzystania z algorytmu podpisu cyfrowego klucza publicznego „ssh-rsa”, o którym wspomniano w oryginalnym dokumencie RFC dotyczącym protokołu SSH i nadal jest szeroko stosowany w praktyce.
Aby ułatwić przejście do nowych algorytmów w OpenSSH 8.5, konfiguracja UpdateHostKeys jest domyślnie włączona, co umożliwia automatyczne przełączanie klientów na bardziej niezawodne algorytmy.
To ustawienie włącza specjalne rozszerzenie protokołu „hostkeys@openssh.com”, które umożliwia serwerowi, po przejściu uwierzytelnienia, poinformowanie klienta o wszystkich dostępnych kluczach hostów. Klient może odzwierciedlić te klucze w swoim pliku ~ / .ssh / known_hosts, co umożliwia organizowanie aktualizacji kluczy hosta i ułatwia zmianę kluczy na serwerze.
Ponadto naprawiono lukę spowodowaną przez ponowne zwolnienie już zwolnionego obszaru pamięci w ssh-agent. Problem pojawił się od czasu wydania OpenSSH 8.2 i może zostać wykorzystany, jeśli osoba atakująca ma dostęp do gniazda agenta ssh w systemie lokalnym. Aby skomplikować sprawę, tylko root i pierwotny użytkownik mają dostęp do gniazda. Najbardziej prawdopodobnym scenariuszem ataku jest przekierowanie agenta na konto kontrolowane przez atakującego lub do hosta, do którego osoba atakująca ma uprawnienia administratora.
Ponadto, sshd dodał ochronę przed bardzo dużym przekazywaniem parametrów z nazwą użytkownika do podsystemu PAM, który pozwala na blokowanie podatności w modułach systemu PAM (Wtykowy moduł uwierzytelniania). Na przykład zmiana ta uniemożliwia wykorzystanie sshd jako wektora do wykorzystania niedawno zidentyfikowanej luki w zabezpieczeniach roota w systemie Solaris (CVE-2020-14871).
W przypadku zmian, które potencjalnie naruszają kompatybilność, wspomniano, że ssh i sshd przerobili eksperymentalną metodę wymiany kluczy który jest odporny na ataki siłowe na komputer kwantowy.
Zastosowana metoda oparta jest na algorytmie NTRU Prime opracowany dla kryptosystemów post-kwantowych i metody wymiany klucza opartej na krzywej eliptycznej X25519. Zamiast sntrup4591761x25519-sha512@tinyssh.org, metoda jest teraz identyfikowana jako sntrup761x25519-sha512@openssh.com (algorytm sntrup4591761 został zastąpiony przez sntrup761).
Z innych wyróżniających się zmian:
- W ssh i sshd kolejność reklam obsługiwanych przez algorytmy podpisów cyfrowych została zmieniona. Pierwszym jest teraz ED25519 zamiast ECDSA.
- W ssh i sshd ustawienia TOS / DSCP QoS dla sesji interaktywnych są teraz ustawiane przed ustanowieniem połączenia TCP.
- Ssh i sshd przestały obsługiwać szyfrowanie rijndael-cbc@lysator.liu.se, które jest identyczne z aes256-cbc i było używane przed RFC-4253.
- Ssh, akceptując nowy klucz hosta, zapewnia wyświetlenie wszystkich nazw hostów i adresów IP powiązanych z kluczem.
- W ssh dla kluczy FIDO powtarzane jest żądanie PIN w przypadku niepowodzenia w operacji podpisu cyfrowego z powodu nieprawidłowego kodu PIN i braku żądania PIN od użytkownika (na przykład, gdy nie można było uzyskać prawidłowego biometrycznego dane, a urządzenie ręcznie wprowadziło ponownie kod PIN).
- Sshd dodaje obsługę dodatkowych wywołań systemowych do mechanizmu piaskownicy opartego na seccomp-bpf w systemie Linux.
Jak zainstalować OpenSSH 8.5 w systemie Linux?
Dla tych, którzy są zainteresowani możliwością zainstalowania tej nowej wersji OpenSSH w swoich systemach, na razie mogą to zrobić pobieranie kodu źródłowego tego i wykonanie kompilacji na swoich komputerach.
Dzieje się tak, ponieważ nowa wersja nie została jeszcze uwzględniona w repozytoriach głównych dystrybucji Linuksa. Aby uzyskać kod źródłowy, możesz to zrobić z poniższy link.
Zakończono pobieranie, teraz rozpakujemy pakiet za pomocą następującego polecenia:
tar -xvf otwiera sh-8.5.tar.gz
Wchodzimy do utworzonego katalogu:
cd opensh-8.5
Y możemy skompilować następujące polecenia:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install