Efter fem månaders utvecklinglanseras lanseringen av OpenSSH 8.5 tillsammans med vilken OpenSSH-utvecklare påminde om den kommande överföringen till kategorin föråldrade algoritmer som använder SHA-1-hash, på grund av ökad effektivitet av kollisionsattacker med ett visst prefix (kostnaden för kollisionsvalet uppskattas till cirka 50 tusen dollar).
I en av nästa versioner, planerar att inaktivera som standard möjligheten att använda den digitala signaturalgoritmen för allmän nyckel "ssh-rsa", som nämns i den ursprungliga RFC för SSH-protokollet och fortfarande används i stor utsträckning i praktiken.
För att underlätta övergången till nya algoritmer i OpenSSH 8.5, konfigurationen UpdateHostKeys är aktiverat som standard, Vad låter dig automatiskt byta klienter till mer tillförlitliga algoritmer.
Denna inställning möjliggör ett speciellt protokolltillägg "hostkeys@openssh.com", vilket gör att servern, efter godkännande, kan informera klienten om alla tillgängliga värdnycklar. Klienten kan återspegla dessa nycklar i sin ~ / .ssh / known_hosts-fil, vilket gör det möjligt att organisera värdnyckeluppdateringar och gör det enkelt att byta nycklar på servern.
Dessutom, fixade en sårbarhet orsakad av att frigöra ett redan frigjort minnesområde i ssh-agent. Problemet har varit uppenbart sedan lanseringen av OpenSSH 8.2 och kan eventuellt utnyttjas om angriparen har tillgång till ssh agent-uttaget på det lokala systemet. För att komplicera saker har endast root och den ursprungliga användaren tillgång till uttaget. Det mest troliga scenariot för en attack är att omdirigera agenten till ett konto som kontrolleras av angriparen eller till en värd där angriparen har root-åtkomst.
Dessutom, sshd har lagt till skydd mot mycket stora parametrar med ett användarnamn till PAM-delsystemet, vilket gör det möjligt att blockera sårbarheter i modulerna i PAM-systemet (Pluggbar autentiseringsmodul). Till exempel förhindrar ändringen sshd från att användas som en vektor för att utnyttja en nyligen identifierad root-sårbarhet i Solaris (CVE-2020-14871).
För den del av ändringarna som potentiellt bryter kompatibilitet nämns att ssh och sshd har omarbetat en experimentell nyckelutbytesmetod som är resistent mot brutala kraftattacker på en kvantdator.
Metoden som används är baserad på NTRU Prime-algoritmen utvecklat för kryptosystem efter kvantitet och X25519 elliptisk kurvnyckelbytesmetod. Istället för sntrup4591761x25519-sha512@tinyssh.org identifieras metoden nu som sntrup761x25519-sha512@openssh.com (algoritmen sntrup4591761 har ersatts av sntrup761).
Av de andra förändringarna som sticker ut:
- I ssh och sshd har ordningen för reklamstödda digitala signaturalgoritmer ändrats. Den första är nu ED25519 istället för ECDSA.
- I ssh och sshd är TOS / DSCP QoS-inställningar för interaktiva sessioner nu inställda innan en TCP-anslutning upprättas.
- Ssh och sshd har slutat stödja rijndael-cbc@lysator.liu.se-kryptering, som är identisk med aes256-cbc och användes före RFC-4253.
- Ssh, genom att acceptera en ny värdnyckel, ser till att alla värdnamn och IP-adresser som är associerade med nyckeln visas.
- I ssh för FIDO-nycklar tillhandahålls en upprepad PIN-begäran i händelse av ett misslyckande i den digitala signaturoperationen på grund av en felaktig PIN-kod och bristen på en PIN-begäran från användaren (till exempel när det inte var möjligt att få korrekt biometrisk data och enheten matade in PIN-koden manuellt).
- Sshd lägger till stöd för ytterligare systemanrop till den seccomp-bpf-baserade sandbox-mekanismen i Linux.
Hur installerar jag OpenSSH 8.5 på Linux?
För dem som är intresserade av att kunna installera den här nya versionen av OpenSSH på sina system, för nu kan de göra det ladda ner källkoden för detta och utför kompilering på sina datorer.
Detta beror på att den nya versionen ännu inte har inkluderats i förvaren för de viktigaste Linux-distributionerna. För att få källkoden kan du göra från följande länk.
Gjorde nedladdningen, nu ska vi packa upp paketet med följande kommando:
tar -xvf openssh -8.5.tar.gz
Vi går in i den skapade katalogen:
cd openssh-8.5
Y vi kan sammanställa med följande kommandon:
./configure --prefix = / opt --sysconfdir = / etc / ssh gör installationen