OpenSSH 9.8 fixar två sårbarheter, säger adjö till DSA, implementerar förbättringar och mer

OpenSSH tillhandahåller en rik uppsättning säkra tunnelfunktioner

Den nya versionen av OpenSSH 9.8 har redan släppts och i denna nya version som presenteras korrigerar den inte bara en kritisk sårbarhet regreSSHion (CVE-2024-6387), men tar också upp en annan mindre allvarlig sårbarhet och föreslår flera betydande förändringar för att förbättra säkerheten.

Bland de viktigaste förändringarna som sticker ut i den nya versionen är till exempel DSA borttagning. Stöd för digitala signaturer baserade på DSA-algoritmen är inte något specifikt för den nya versionen, men som sådan var det redan planerat att inaktiveras som standard i denna version. Planen att ta bort DSA-implementeringen från kodbasen kommer att fasas in i början av 2025 på grund av dess otillräckliga säkerhetsnivå för att uppfylla moderna standarder. Denna åtgärd kommer att uppmuntra utfasningen av DSA-stöd i andra SSH-implementationer och kryptografiska bibliotek.

En annan av ändringarna som OpenSSH 9.8 presenterar är skydd mot automatiserade attacker, eftersom ett nytt standardskyddsläge har implementerats och aktiverats för att mildra utnyttjandemetoder som försöker upprätta flera anslutningar till sshd. Det här läget hjälper också till att blockera automatiska lösenordsgissningsattacker genom att övervaka misslyckade autentiseringsförsök och onormala avslutningar av underordnade processer. Parametrar kan konfigureras som t.ex PerSourcePenalties, PerSourceNetBlockSize och PerSourcePenaltyExemptList för att ställa in blockeringströskeln, blockerad nätmask och undantagslista.

Förutom det, sshd har delats upp i flera oberoende körbara filer. Processen sshd-session är nu separerad från sshd att hantera specifika uppgifter relaterade till sessionsbearbetning, medan sshd behåller funktioner för att acceptera nätverksanslutningar, verifiera konfigurationer, ladda värdnycklar och hantera startprocesser baserat på MaxStartups-parametern.

I den bärbara versionen av sshd, Hanteringen av automatiskt genererade filer har optimerats och säkerställer att de sparas i en Git-gren med specifika versioner (till exempel V_9_8), vilket gör det enkelt att synkronisera med den digitalt signerade tarkompositionen och grenarna i Git.

Eftersom andra sårbarheten som adresserar OpenSSH 9.8, det nämns att detta tillåts kringgå skyddet implementerat i OpenSSH 9.5 mot sidokanalattacker som analyserar tiderna mellan tangenttryckningar på tangentbordet för att rekonstruera inmatningen. Denna sårbarhet låter dig skilja mellan paket som genererar bakgrundsaktivitet genom att simulera dummy-tangenttryckningar och paket som skickas när riktiga tangenter trycks ned, vilket minskar effektiviteten hos mekanismen för att dölja interaktiva inmatningsfunktioner i SSH-trafik.

Uppgifterna om tangenttryckningar kan användas vid attacker som rekonstruerar indata genom att analysera tiderna mellan tangenttryckningar, som varierar beroende på tangentbordslayouten (till exempel är svaret när du skriver bokstaven "F" snabbare än när du skriver "Q" eller "X", på grund av tangentplaceringen och fingerrörelser).

Dessutom, Det upptäcktes att den algoritm som används att skicka paket med riktiga och dummy-tangenttryckningar äventyrade tillförlitligheten hos en annan metod för skydd mot sidokanalattacker. Sedan lanseringen av OpenSSH 2.9.9 har servern skickat paket med dummy-tangenttryckningar för konsolinmatning i ekoavstängningsläge, som används till exempel vid inmatning av lösenord i SUDO.

Den nya logiken för att skicka dummypaket tillät, under passiv trafikanalys, att välja paket med riktiga tangenttryckningar i ekoavstängningsläge för separat analys. Däremot är noggrannheten i informationen om tiderna mellan tangenttryckningarna begränsad, eftersom paket inte skickas direkt efter skrivning, utan med fasta intervall (som standard, 20 ms).

Av Andra ändringar som implementerades i OpenSSH 9.8, kan vi hitta följande:

  • Uppdaterade texten till några felmeddelanden i loggarna. Processnamn som "sshd-session" används nu istället för "sshd" för bättre tydlighet och spårbarhet.
  • Verktyget ssh-keyscan matar nu ut information om värdnamn och protokollversion i en standardström istället för STDERR. Utgången kan inaktiveras med alternativet "-q".
  • I ssh är det möjligt att inaktivera återställning av användningen av ett värdnyckelcertifikat till enkla värdnycklar med hjälp av HostkeyAlgorithms-direktivet.
  • Den bärbara versionen av sshd stöder nu att skicka meddelanden till systemd när du skapar eller startar om en lyssnande nätverkssocket, med hjälp av separat kod som inte beror på libsystemd-biblioteket.

Slutligen, om du är intresserad av att veta mer om det, kan du konsultera detaljerna i följande länk.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.