Após cinco meses de desenvolvimento, o lançamento do OpenSSH 8.5 é apresentado junto com o qual Os desenvolvedores do OpenSSH relembraram a próxima transferência para a categoria de algoritmos obsoletos que usam hashes SHA-1, devido à maior eficiência dos ataques de colisão com um determinado prefixo (o custo da seleção de colisão é estimado em cerca de 50 mil dólares).
Em uma das próximas versões, planejam desativar por padrão a capacidade de usar o algoritmo de assinatura digital de chave pública "ssh-rsa", que é mencionado no RFC original para o protocolo SSH e ainda é amplamente usado na prática.
Para facilitar a transição para novos algoritmos no OpenSSH 8.5, a configuração UpdateHostKeys é habilitado por padrão, Que permite que você alterne automaticamente os clientes para algoritmos mais confiáveis.
Esta configuração habilita uma extensão de protocolo especial "hostkeys@openssh.com", que permite ao servidor, após passar a autenticação, informar o cliente de todas as chaves de host disponíveis. O cliente pode refletir essas chaves em seu arquivo ~ / .ssh / known_hosts, o que permite organizar atualizações de chaves de host e facilita a alteração de chaves no servidor.
Além disso, corrigiu uma vulnerabilidade causada pela liberação de uma área de memória já liberada em ssh-agent. O problema ficou aparente desde o lançamento do OpenSSH 8.2 e pode ser potencialmente explorado se o invasor tiver acesso ao soquete do agente ssh no sistema local. Para complicar as coisas, apenas o root e o usuário original têm acesso ao socket. O cenário mais provável de um ataque é redirecionar o agente para uma conta controlada pelo invasor ou para um host onde o invasor tem acesso root.
Além disso, sshd adicionou proteção contra passagem de parâmetros muito grandes com um nome de usuário para o subsistema PAM, que permite bloquear vulnerabilidades nos módulos do sistema PAM (Módulo de autenticação plugável). Por exemplo, a mudança evita que o sshd seja usado como um vetor para explorar uma vulnerabilidade raiz recentemente identificada no Solaris (CVE-2020-14871).
Para a parte das mudanças que potencialmente quebram a compatibilidade, é mencionado que ssh e sshd reformularam um método experimental de troca de chaves que é resistente a ataques de força bruta em um computador quântico.
O método usado é baseado no algoritmo NTRU Prime desenvolvido para criptosistemas pós-quânticos e o método de troca de chave de curva elíptica X25519. Em vez de sntrup4591761x25519-sha512@tinyssh.org, o método agora é identificado como sntrup761x25519-sha512@openssh.com (o algoritmo sntrup4591761 foi substituído por sntrup761).
Das outras mudanças que se destacam:
- Em ssh e sshd, a ordem dos algoritmos de assinatura digital com suporte de publicidade foi alterada. O primeiro agora é ED25519 em vez de ECDSA.
- Em ssh e sshd, as configurações de TOS / DSCP QoS para sessões interativas agora são definidas antes de estabelecer uma conexão TCP.
- Ssh e sshd pararam de suportar a criptografia rijndael-cbc@lysator.liu.se, que é idêntica a aes256-cbc e era usada antes do RFC-4253.
- O Ssh, ao aceitar uma nova chave de host, garante que todos os nomes de host e endereços IP associados à chave sejam exibidos.
- Em ssh para chaves FIDO, uma solicitação de PIN repetida é fornecida em caso de falha na operação de assinatura digital devido a um PIN incorreto e a falta de uma solicitação de PIN do usuário (por exemplo, quando não foi possível obter dados biométricos corretos dados e o dispositivo reinsira manualmente o PIN).
- Sshd adiciona suporte para chamadas de sistema adicionais ao mecanismo de sandbox baseado em seccomp-bpf no Linux.
Como instalar o OpenSSH 8.5 no Linux?
Para aqueles que estão interessados em poder instalar esta nova versão do OpenSSH em seus sistemas, por enquanto eles podem fazer isso baixando o código-fonte deste e realizando a compilação em seus computadores.
Isso ocorre porque a nova versão ainda não foi incluída nos repositórios das principais distribuições do Linux. Para obter o código-fonte, você pode fazer em o seguinte link.
Feito o download, agora vamos descompactar o pacote com o seguinte comando:
tar -xvf abresh-8.5.tar.gz
Entramos no diretório criado:
cd abresh-8.5
Y podemos compilar com os seguintes comandos:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install