След три месеца развитие, беше представена новата версия на OpenSSH 8.3, в която подчертава нова добавена защита срещу scp атаки, Какво позволява на сървъра да прехвърля други имена на файлове, които се различават от заявените (За разлика от предишната уязвимост, атаката не позволява промяна на директорията, избрана от потребителя или глобалната маска).
В SCP, сървърът решава кои файлове и директории да изпрати на клиента и клиентът само проверява за точност на върнатите имена на обекти. Същността на идентифицирания проблем е, че ако извикването на системата за синхронизация не успее, съдържанието на файла се интерпретира като метаданни на файла.
Когато се свързвате със сървър, контролиран от нападател, тази функция може да се използва за запазване на други имена Файл и друго съдържание в FS на потребителя при копиране с помощта на scp в настройки, които причиняват грешки във времето. Например, когато пътищата са деактивирани от SELinux политика или филтър за системно повикване.
Изчислено е, че вероятността от реални атаки е минимална, тъй като в типичните конфигурации извикването за време не се проваля. Освен това атаката не остава незабелязана: при извикване на scp се показва грешка при предаване на данни.
Сбогом на SHA-1
В допълнение, разработчиците на OpenSSH също предупреди за пореден път за предстоящия трансфер в категорията остарели алгоритми които използват хеширане SHA-1, поради увеличаване на ефективността на атаките за сблъсък с даден префикс (цената на избора на сблъсък се оценява на около $ 45K)
В един от следните проблеми, те планират да деактивират по подразбиране възможността за използване на алгоритъма за цифров подпис ssh-rsa с публичен ключ, който е споменат в оригиналния RFC за протокола SSH и остава широко разпространен на практика.
Възможни кандидати
За да улесните прехода към нови алгоритми в OpenSSH в предстояща версия, настройката UpdateHostKeys ще бъде активирана по подразбиране, което автоматично ще превключи клиентите към по-надеждни алгоритми.
Сред препоръчаните алгоритми за миграция Те са: rsa-sha2-256 / 512, базирани на RFC8332 RSA SHA-2 (съвместим с OpenSSH 7.2 и използван по подразбиране), ssh-ed25519 (съвместим с OpenSSH 6.5) и ecdsa-sha2-nistp256 / 384/521 въз основа на RFC5656 ECDSA (съвместим с OpenSSH 5.7).
Други промени
От последния брой, "ssh-rsa" и "diffie-hellman-group14-sha1»Премахнати са от списъка CASignatureAlgorithms, който дефинира валидните алгоритми за цифрово подписване на нови сертификати, тъй като използването на SHA-1 в сертификати носи допълнителен риск, тъй като нападателят има неограничено време за търсене на сблъсъци за съществуващ сертификат, докато времето за атака в ключовете на хоста е ограничено от изчакване на връзката (LoginGraceTime).
От останалите промени които се открояват от тази нова версия са:
- В sftp обработката „-1“ спира, подобно на ssh и scp, което преди беше прието, но игнорирано.
- В sshd при използване на IgnoreRhosts сега се предоставят три опции: "да", за да се игнорират rhosts / shosts, "ne", за да се разгледат rhosts / shosts и "shosts-only", което трябва да позволи ".shosts", но деактивира ".rhosts" .
- В ssh се предоставя обработка за отмяна на% TOKEN в конфигурацията LocalFoward и RemoteForward, използвани за пренасочване на Unix сокети.
- Разрешено е да се изтеглят публични ключове от файл, който не е шифрован с частен ключ, ако няма отделен файл с публичен ключ.
- Ако системата има libcrypto в ssh и sshd, тя вече използва реализацията на алгоритъма chacha20 на тази библиотека, вместо вградената преносима реализация, която има по-ниска производителност.
- Въведена е възможността за изхвърляне на съдържанието на двоичния списък на отменените сертификати при изпълнение на командата "ssh-keygen -lQf / path".
- Преносимата версия изпълнява системни дефиниции, в които сигнали с опцията SA_RESTART прекъсват избора;
- Проблеми с компилацията, отстранени на системи HP / UX и AIX.
- Отстранени проблеми с компилацията за seccomp пясъчник на някои конфигурации на Linux.
- Дефиницията на библиотеката libfido2 е подобрена и проблемите при компилацията са решени с опцията –with-security-key-builtin.
Как да инсталирам OpenSSH 8.3 на Linux?
За тези, които се интересуват от възможността да инсталират тази нова версия на OpenSSH на своите системи, засега те могат да го направят изтегляне на изходния код на това и извършване на компилацията на техните компютри.
Това е така, защото новата версия все още не е включена в хранилищата на основните дистрибуции на Linux. За да получите изходния код, можете да направите от Следваща връзка.
Извършено изтегляне, сега ще разархивираме пакета със следната команда:
tar -xvf openssh-8.3.tar.gz
Въвеждаме създадената директория:
cd openssh-8.3
Y можем да компилираме с следните команди:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install
Благодаря за информацията :)