OpenSSH е набор от приложения, които позволяват криптирана комуникация през мрежа, използвайки SSH протокола.
Публикувано е Версия на OpenSSH 9.3, отворена реализация на клиент и сървър за работа с протоколите SSH 2.0 и SFTP. Новата версия на OpenSSH 9.3 успява да коригира някои проблеми със сигурността, в допълнение към добавянето на някои нови функции
За тези, които не са наясно с OpenSSH (Open Secure Shell), трябва да знаят това това е набор от приложения, които позволяват криптирана комуникация през мрежа, използвайки SSH протокола. Създаден е като безплатна и отворена алтернатива на програмата Secure Shell, която е патентован софтуер.
Основни нови функции на OpenSSH 9.3
В тази нова версия, излизаща от OpenSSH 9.3, една от новите функции е, че sshd добавя опция `sshd -G`, която анализира и отпечатва действителната конфигурация, без да се опитва да зарежда лични ключове и да извършва други проверки. Това позволява опцията да се използва преди генерирането на ключове и за оценка и проверка на конфигурацията от непривилегировани потребители.
За частта за коригиране на грешки, е открита логическа грешка в помощната програма ssh-add, така че при добавяне на ключове за смарт карта към ssh-агента, ограниченията, посочени с опцията "ssh-add -h", не бяха предадени на агента. В резултат на това беше добавен ключ към агента, така че нямаше ограничения, които позволяват връзки само от определени хостове.
Още една от поправките който беше внедрен, е уязвимост в помощната програма ssh, която може да причини четене на данни от областта на стека извън разпределения буфер при обработка на специално изработени DNS отговори, ако настройката VerifyHostKeyDNS е включена в конфигурационния файл.
Проблемът съществува във вградената реализация на функцията getrrsetbyname(), която се използва в преносими версии на OpenSSH, създадени без използване на външната ldns библиотека (–with-ldns) и в системи със стандартни библиотеки, които не поддържат getrrsetbyname() обаждане. Възможността за използване на уязвимостта, освен за иницииране на отказ на услуга за ssh клиента, се счита за малко вероятна.
От новите версии, които се открояват:
- В scp и sftp поправя повреда в индикатора за прогрес на широки екрани;
- ssh-add и ssh-keygen използват RSA/SHA256, когато тестват използваемостта на частния ключ, тъй като някои системи започват да деактивират RSA/SHA1 в libcrypto.
- В sftp-сървър направи корекция за изтичане на памет.
- В ssh, sshd и ssh-keyscan кодът за съвместимост беше премахнат и опростено това, което остава от "vestigal" протокола.
- Направена е корекция на поредицата резултати от статичен анализ на Coverity с ниско въздействие.
Те включват няколко докладвани:
* ssh_config(5), sshd_config(5): споменете, че някои опции не са
спечелена първа игра
* Преработен дневник за регресионно тестване. Регресионно тестване сега
заснемете отделни регистрационни файлове за всяко извикване на ssh и sshd в тест.
* ssh(1): накарайте `ssh -Q CASignatureAlgorithms` да работи като man страница
казва, че трябва; bz3532.
Накрая трябва да се отбележи, че може да се наблюдава уязвимост в библиотеката libskey включен в OpenBSD, който се използва от OpenSSH. Проблемът съществува от 1997 г. и може да причини препълване на буфера на стека при обработка на специално създадени имена на хостове.
Накрая ако се интересувате да научите повече за това за тази нова версия можете да проверите подробностите като отидете на следната връзка.
Как да инсталирам OpenSSH 9.3 на Linux?
За тези, които се интересуват от възможността да инсталират тази нова версия на OpenSSH на своите системи, засега те могат да го направят изтегляне на изходния код на това и извършване на компилацията на техните компютри.
Това е така, защото новата версия все още не е включена в хранилищата на основните дистрибуции на Linux. За да получите изходния код, можете да направите от Следваща връзка.
Извършено изтегляне, сега ще разархивираме пакета със следната команда:
tar -xvf openssh-9.3.tar.gz
Въвеждаме създадената директория:
cd openssh-9.3
Y можем да компилираме с следните команди:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install