OpenSSH 8.5 ajunge cu UpdateHostKeys, remedieri și multe altele

După cinci luni de dezvoltare, este prezentată versiunea OpenSSH 8.5 alături de care Dezvoltatorii OpenSSH au reamintit transferul viitoare în categoria algoritmilor învechi care utilizează hash-uri SHA-1, datorită eficienței mai mari a atacurilor de coliziune cu un prefix dat (costul selecției de coliziune este estimat la aproximativ 50 de mii de dolari).

Într-una din următoarele versiuni, intenționați să dezactivați implicit posibilitatea de a utiliza algoritmul de semnătură digitală cu cheie publică „ssh-rsa”, care este menționat în RFC original pentru protocolul SSH și este încă utilizat pe scară largă în practică.

Pentru a ușura tranziția la noi algoritmi în OpenSSH 8.5, configurația UpdateHostKeys este activat în mod implicit, ce vă permite să comutați automat clienții la algoritmi mai fiabili.

Această setare permite o extensie specială de protocol „hostkeys@openssh.com”, care permite serverului, după trecerea autentificării, să informeze clientul cu privire la toate cheile de gazdă disponibile. Clientul poate reflecta aceste chei în fișierul lor ~ / .ssh / known_hosts, care permite organizarea actualizărilor cheii de gazdă și facilitează schimbarea cheilor de pe server.

Mai mult decât atât, a remediat o vulnerabilitate cauzată de eliberarea unei zone de memorie deja eliberate în ssh-agent. Problema a fost evidentă de la lansarea OpenSSH 8.2 și ar putea fi potențial exploatată dacă atacatorul are acces la soclul agentului ssh de pe sistemul local. Pentru a complica lucrurile, doar root și utilizatorul original au acces la socket. Scenariul cel mai probabil al unui atac este redirecționarea agentului către un cont controlat de atacator sau către o gazdă unde atacatorul are acces root.

În plus, sshd a adăugat protecție împotriva transmiterii parametrilor foarte mari cu un nume de utilizator la subsistemul PAM, care permite blocarea vulnerabilităților din modulele sistemului PAM (Modul de autentificare conectabil). De exemplu, modificarea împiedică utilizarea sshd ca vector pentru a exploata o vulnerabilitate rădăcină recent identificată în Solaris (CVE-2020-14871).

Pentru partea modificărilor care pot rupe compatibilitatea, se menționează că ssh și sshd au refăcut o metodă experimentală de schimb de chei care este rezistent la atacurile de forță brută asupra unui computer cuantic.

Metoda utilizată se bazează pe algoritmul NTRU Prime dezvoltat pentru criptosisteme post-cuantice și metoda de schimb a cheii curbei eliptice X25519. În loc de sntrup4591761x25519-sha512@tinyssh.org, metoda este acum identificată ca sntrup761x25519-sha512@openssh.com (algoritmul sntrup4591761 a fost înlocuit cu sntrup761).

Dintre celelalte schimbări care se remarcă:

  • În ssh și sshd, ordinea algoritmilor de semnături digitale acceptate de publicitate a fost modificată. Primul este acum ED25519 în loc de ECDSA.
  • În ssh și sshd, setările TOS / DSCP QoS pentru sesiunile interactive sunt acum setate înainte de a stabili o conexiune TCP.
  • Ssh și sshd au încetat să mai accepte criptarea rijndael-cbc@lysator.liu.se, care este identică cu aes256-cbc și a fost utilizată înainte de RFC-4253.
  • Ssh, prin acceptarea unei noi chei de gazdă, asigură afișarea tuturor numelor de gazdă și a adreselor IP asociate cu cheia.
  • În ssh pentru tastele FIDO, este furnizată o cerere PIN repetată în cazul unei defecțiuni în operațiunea de semnătură digitală din cauza unui PIN incorect și a lipsei unei cereri PIN de la utilizator (de exemplu, atunci când nu a fost posibil să se obțină biometrice corecte datele și dispozitivul au reintrodus manual codul PIN).
  • Sshd adaugă suport pentru apeluri de sistem suplimentare la mecanismul de sandboxing bazat pe seccomp-bpf în Linux.

Cum se instalează OpenSSH 8.5 pe Linux?

Pentru cei care sunt interesați să poată instala această nouă versiune de OpenSSH pe sistemele lor, deocamdată o pot face descărcând codul sursă al acestuia și efectuând compilarea pe computerele lor.

Acest lucru se datorează faptului că noua versiune nu a fost încă inclusă în depozitele principalelor distribuții Linux. Pentru a obține codul sursă, puteți face de la următorul link.

Descărcarea a fost efectuată, acum vom dezarhiva pachetul cu următoarea comandă:

tar -xvf openssh-8.5.tar.gz

Intrăm în directorul creat:

cd openssh-8.5

Y putem compila cu următoarele comenzi:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.