ОпенССХ 8.5 стиже са УпдатеХостКеис, исправкама и још много тога

После пет месеци развоја, представљено је издање ОпенССХ 8.5 заједно са којима Програмери ОпенССХ подсетили су на предстојећи прелазак у категорију застарелих алгоритама који користе СХА-1 хешеве, због веће ефикасности напада судара са датим префиксом (трошак избора судара процењује се на око 50 хиљада долара).

У једној од следећих верзија, планирају да подразумевано онемогуће могућност коришћења алгоритма за дигитални потпис јавног кључа „ссх-рса“, који се помиње у оригиналном РФЦ за ССХ протокол и још увек се широко користи у пракси.

Да би се уједначио прелазак на нове алгоритме у ОпенССХ 8.5, конфигурација УпдатеХостКеис је подразумевано омогућен, Шта омогућава вам да аутоматски пребаците клијенте на поузданије алгоритме.

Ова поставка омогућава посебно проширење протокола „хосткеис@опенссх.цом“, које омогућава серверу да након проласка аутентификације обавести клијента о свим расположивим кључевима хоста. Клијент може да одражава ове кључеве у својој датотеци ~ / .ссх / кновн_хостс, што омогућава организовање ажурирања кључа хоста и олакшава промену кључева на серверу.

С друге стране, отклонила рањивост узроковану поновним ослобађањем већ ослобођеног подручја меморије у ссх-агенту. Проблем је очигледан од издавања ОпенССХ 8.2 и могао би се потенцијално искористити ако нападач има приступ утичници ссх агент на локалном систему. Да компликује ствари, само роот и оригинални корисник имају приступ сокету. Најизгледнији сценарио напада је преусмеравање агента на рачун који контролише нападач или на хост где нападач има роот приступ.

Поред тога, ссхд је додао заштиту од проласка великог параметра са корисничким именом за подсистем ПАМ, који омогућава блокирање рањивости у модулима ПАМ система (Прикључни модул за потврду идентитета). На пример, промена спречава употребу ссхд-а као вектора за искоришћавање недавно идентификоване роот рањивости у Соларис-у (ЦВЕ-2020-14871).

За део промена које потенцијално прекидају компатибилност, помиње се да је ссх и ссхд су прерадили експериментални метод размене кључева који је отпоран на нападе грубе силе на квантни рачунар.

Коришћена метода се заснива на алгоритму НТРУ Приме развијен за постквантне криптосистеме и метод размене кључева елиптичке криве Кс25519. Уместо снтруп4591761к25519-сха512@тиниссх.орг, метода је сада идентификована као снтруп761к25519-сха512@опенссх.цом (алгоритам снтруп4591761 замењен је снтруп761).

Од осталих промена које се истичу:

  • У ссх и ссхд промењен је редослед оглашавања подржаних алгоритама дигиталног потписа. Први је сада ЕД25519 уместо ЕЦДСА.
  • У ссх и ссхд поставке ТОС / ДСЦП КоС за интерактивне сесије су сада постављене пре успостављања ТЦП везе.
  • Ссх и ссхд су престали да подржавају шифрирање ријндаел-цбц@лисатор.лиу.се, које је идентично аес256-цбц и користило се пре РФЦ-4253.
  • Ссх, прихватањем новог кључа хоста, осигурава да се прикажу сва имена хоста и ИП адресе повезане са кључем.
  • У ссх за ФИДО кључеве пружа се поновљени захтев за ПИН у случају неуспеха у операцији дигиталног потписа због нетачног ПИН-а и недостатка захтева за ПИН-ом од корисника (на пример, када није било могуће добити исправну биометријску података и уређај је ручно поново унео ПИН).
  • Ссхд додаје подршку за додатне системске позиве механизму за песковито окружење заснованом на сеццомп-бпф у Линуку.

Како инсталирати ОпенССХ 8.5 на Линук?

За оне који су заинтересовани за могућност инсталирања ове нове верзије ОпенССХ-а на своје системе, за сада то могу преузимајући изворни код овог и изводећи компилацију на својим рачунарима.

То је зато што нова верзија још увек није укључена у спремишта главних Линук дистрибуција. Да бисте добили изворни код, можете то учинити са следећи линк.

Завршено преузимање, сада ћемо распаковати пакет следећом наредбом:

тар -квф опенссх-8.5.тар.гз

Улазимо у креирани директоријум:

цд опенссх-8.5

Y можемо саставити са следеће наредбе:

./цонфигуре --префик = / опт --сисцонфдир = / етц / ссх маке маке инсталл

Будите први који ће коментарисати

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.