OpenSSH 8.5 ערייווז מיט UpdateHostKeys, פיקסיז און מער

נאָך פינף חדשים פון אַנטוויקלונג, די מעלדונג פון OpenSSH 8.5 איז דערלאנגט צוזאמען מיט וואָס OpenSSH דעוועלאָפּערס ריקאָלד די אַפּקאַמינג אַריבערפירן צו די קאַטעגאָריע פון ​​פאַרעלטערט אַלגערידאַמז וואָס נוצן SHA-1 האַשעס, רעכט צו דער גרעסערע עפעקטיווקייט פון צונויפשטויס אנפאלן מיט אַ געגעבן פּרעפיקס (די קאָס פון די צונויפשטויס פון די צונויפשטויס איז עסטימאַטעד וועגן 50 דאָללאַרס).

אין איינער פון די ווייַטער ווערסיעס, פּלאַן צו דיסייבאַל די פיייקייט צו נוצן די פובליק שליסל דיגיטאַל כסימע אַלגערידאַם "סש-רסאַ", וואָס איז דערמאנט אין דער אָריגינעל RFC פֿאַר די SSH פּראָטאָקאָל און איז נאָך וויידלי געניצט אין פיר.

צו גלאַט די יבערגאַנג צו נייַ אַלגערידאַמז אין OpenSSH 8.5, די קאַנפיגיעריישאַן UpdateHostKeys איז ינייבאַלד דורך פעליקייַט, וואס אַלאַוז איר צו אויטאָמאַטיש באַשטימען קלייאַנץ צו מער פאַרלאָזלעך אַלגערידאַמז.

די באַשטעטיקן ינייבאַלז אַ ספּעציעלע פּראָטאָקאָל פאַרלענגערונג "hostkeys@openssh.com", וואָס אַלאַוז די סערווירער, נאָך דורכגעגאנגען אָטענטאַקיישאַן, צו מיטטיילן דעם קליענט פון אַלע פאַראַנען שליסלען. דער קליענט קענען פאַרטראַכטן די שליסלען אין זייער ~ / .שש / באקאנט_האָסטס טעקע, וואָס אַלאַוז אָרגאַנייזינג באַלעבאָס שליסל דערהייַנטיקונגען און מאכט עס גרינג צו טוישן די שליסלען אויף די סערווער.

דערצו, פאַרפעסטיקט אַ וואַלנעראַביליטי געפֿירט דורך שייַעך-פרייינג אַן שוין באפרייט זיקאָרן געגנט אין סש-אַגענט. דער פּראָבלעם איז קלאָר ווי דער טאָג זינט די מעלדונג פון OpenSSH 8.2 און קען זיין עקספּלויטאַד אויב די אַטאַקער האט אַקסעס צו די סש אַגענט כאָלעל אויף די היגע סיסטעם. צו קאָמפּליצירן ענינים, בלויז וואָרצל און דער אָריגינעל באַניצער האָבן אַקסעס צו די כאָלעל. די מערסט מסתּמא סצענאַר פון אַ באַפאַלן איז רידערעקטינג דעם אַגענט צו אַ חשבון קאַנטראָולד דורך די אַטאַקער, אָדער צו אַ באַלעבאָס וווּ דער אַטאַקער האט וואָרצל אַקסעס.

דערצו, sshd האט צוגעגעבן שוץ קעגן זייער גרויס פּאַראַמעטער פּאַסינג מיט אַ נאמען צו די PAM סאַבסיסטאַם, וואָס אַלאַוז צו פאַרשפּאַרן וואַלנעראַביליטיז אין די מאַדזשולז פון די PAM סיסטעם (פּלוגגאַבלע אָטענטאַקיישאַן מאָדולע). צום ביישפּיל, די ענדערונג פּריווענץ די נוצן פון סשד ווי אַ וועקטאָר צו נוצן אַ לעצטנס יידענאַפייד וואָרצל וואַלנעראַביליטי אין סאָלאַריס (CVE-2020-14871).

פֿאַר די טייל פון די ענדערונגען וואָס פּאַטענטשאַלי ברעכן קאַמפּאַטאַבילאַטי, עס איז דערמאנט אַז sש און סשד האָבן ריווערקט אַן יקספּערמענאַל שליסל וועקסל אופֿן וואָס איז קעגנשטעליק צו ברוט קראַפט אנפאלן אויף אַ קוואַנטום קאָמפּיוטער.

די מעטאָד איז באזירט אויף די NTRU פּריים אַלגערידאַם דעוועלאָפּעד פֿאַר פּאָסטן-קוואַנטום קריפּטאָסיסטעמס און די X25519 עלליפּטיק ויסבייג שליסל וועקסל אופֿן. אַנשטאָט sntrup4591761x25519-sha512@tinyssh.org, דער אופֿן איז איצט יידענאַפייד ווי sntrup761x25519-sha512@openssh.com (סנטרופּ 4591761 אַלגערידאַם איז ריפּלייסט דורך sntrup761).

פון די אנדערע ענדערונגען וואָס שטיין אויס:

  • אין סש און סשד, די סדר פון גאַנצע שטיצט דיגיטאַל סיגנאַטורע אַלגערידאַמז איז געביטן. דער ערשטער איז איצט ED25519 אַנשטאָט פון ECDSA.
  • אין ssh און sshd, די TOS / DSCP QoS סעטטינגס פֿאַר ינטעראַקטיוו סעשאַנז זענען איצט באַשטימט איידער איר פאַרלייגן אַ TCP קשר.
  • Ssh און sshd האָבן אויפגעהערט שטיצן די rijndael-cbc@lysator.liu.se ענקריפּשאַן, וואָס איז יידעניקאַל צו aes256-cbc און איז געניצט איידער RFC-4253.
  • Ssh, דורך אַקסעפּטינג אַ נייַ באַלעבאָס שליסל, ינשורז אַז אַלע באַלעבאָס נעמען און IP אַדרעסעס פֿאַרבונדן מיט די שליסל זענען געוויזן.
  • אין ssh פֿאַר FIDO שליסלען, אַ ריפּיטיד PIN בעטן איז צוגעשטעלט אין פאַל פון אַ דורכפאַל פון די דיגיטאַל כסימע אָפּעראַציע רעכט צו אַ פאַלש PIN און די פעלן פון אַ PIN בעטן פון די באַניצער (פֿאַר בייַשפּיל ווען עס איז געווען ניט מעגלעך צו באַקומען ריכטיק ביאָמעטריק די דאַטן און די מיטל מאַניואַלי ריסטאָרד די PIN).
  • סשד מוסיף שטיצן פֿאַר נאָך סיסטעם רופט צו די סאַנדקאָמפּ-בפּף-באזירט סאַנדבאָקסינג מעקאַניזאַם אין לינוקס.

ווי צו ינסטאַלירן OpenSSH 8.5 אויף לינוקס?

פֿאַר יענע וואס זענען אינטערעסירט צו קענען ינסטאַלירן די נייע ווערסיע פון ​​OpenSSH אויף זייער סיסטעמען, פֿאַר איצט זיי קענען טאָן עס דאַונלאָודינג די מקור קאָד פון דעם און דורכפירן די זאַמלונג אויף זייער קאָמפּיוטערס.

דאָס איז ווייַל די נייַע ווערסיע איז נאָך נישט אַרייַנגערעכנט אין די ריפּאַזאַטאָריז פון די הויפּט לינוקס דיסטריביושאַנז. צו באַקומען די מקור קאָד, איר קענען טאָן פֿון די ווייַטערדיק לינק.

געטאן די אראפקאפיע, איצט מיר וועלן אַנזיפּ די פּעקל מיט די פאלגענדע באַפֿעל:

טאַר -xvf openssh-8.5.tar.gz

מיר אַרייַן די באשאפן וועגווייַזער:

קאָמפּאַקטדיסק אָפּענסש -8.5

Y מיר קענען צונויפנעמען מיט די פאלגענדע קאַמאַנדז:

./configure --prefix = / opt --sysconfdir = / etc / ssh מאַכן מאַכן ינסטאַלירן

דער אינהאַלט פון דעם אַרטיקל אַדכיר צו אונדזער פּרינציפּן פון לייט עטיקס. צו מעלדונג אַ טעות גיט דאָ.

זייט דער ערשטער צו באַמערקן

לאָזן דיין באַמערקונג

אייער בליצפּאָסט אַדרעס וועט נישט זייַן ארויס. Required fields זענען אנגעצייכנט מיט *

*

*

  1. פאַראַנטוואָרטלעך פֿאַר די דאַטן: Miguel Ángel Gatón
  2. ציל פון די דאַטן: קאָנטראָל ספּאַם, קאָמענטאַר פאַרוואַלטונג.
  3. לעגיטימאַטיאָן: דיין צושטימען
  4. קאָמוניקאַציע פון ​​די דאַטן: די דאַטן וועט נישט זיין קאַמיונאַקייטיד צו דריט פּאַרטיעס אַחוץ דורך לעגאַל פליכט.
  5. דאַטן סטאָרידזש: דאַטאַבייס כאָוסטיד דורך Occentus Networks (EU)
  6. רעכט: צו קיין צייט איר קענט באַגרענעצן, צוריקקריגן און ויסמעקן דיין אינפֿאָרמאַציע.