Després de sis mesos de desenvolupament es va donar a conèixer el llançament de l'OpenSSH 8.9, En la qual es corregeix una vulnerabilitat a sshd que potencialment podria permetre laccés sense autenticació. El problema és causat per un desbordament d'enters al codi d'autenticació, però l'explotació només és possible en combinació amb altres errors lògics al codi.
En la seva forma actual, la vulnerabilitat no es pot explotar quan la divisió de privilegis està habilitada, ja que la seva manifestació està bloquejada per verificacions separades realitzades al codi de seguiment de divisió de privilegis.
El mode de privilegis compartits es va habilitar per defecte el 2002 a partir de l'OpenSSH 3.2.2 i ha estat obligatori des de la versió 2017 de l'OpenSSH 7.5. A més, a les versions portàtils d'OpenSSH des de la versió 6.5 (2014), la vulnerabilitat es bloqueja compilant amb la inclusió d'indicadors per protegir contra desbordaments de sencers.
Principals novetats d'OpenSSH 8.9
En aquesta nova versió que es presenta podrem trobar que la versió portàtil d'OpenSSH elimina el suport incorporat de sshd per al hash de contrasenyes utilitzant l'algoritme MD5 (es permet tornar a vincular a biblioteques externes com a libxcrypt)
ssh, sshd, ssh-add i ssh-agent implementen un subsistema per restringir el reenviament i l'ús de claus agregades a ssh-agent.
el subsistema permet establir regles que determinen com i on es poden utilitzar les claus a ssh-agent. Per exemple, per afegir una clau que només es pot utilitzar per autenticar quan qualsevol usuari es connecta al host scylla.example.org, l'usuari perseus es connecta al host cetus.example.org i l'usuari medea es connecta al host charybdis.example .org host, redirigint a través d'un host intermedi scylla.example.org.
En ssh i sshd, la llista KexAlgorithms, que determina l'ordre en què se seleccionen els mètodes d'intercanvi de claus, ha afegit per defecte l'algorisme híbrid «sntrup761x25519-sha512@openssh.com» (ECDH/x25519 + NTRU Prime), que és resistent a selecció en ordinadors quàntics. A OpenSSH 8.9, aquest mètode de negociació es va afegir entre els mètodes ECDH i DH, però està previst que estigui habilitat per defecte en la propera versió.
ssh-keygen, ssh i ssh-agent han millorat el maneig de les claus de token FIDO utilitzades per a la verificació de dispositius, incloses les claus per a l'autenticació biomètrica.
Dels altres canvis que es destaquen d'aquesta nova versió:
- S'ha afegit la comanda «ssh-keygen -I match-principals» a ssh-keygen per verificar els noms d'usuari en un fitxer amb una llista de noms permesos.
- ssh-add i ssh-agent brinden la capacitat d'afegir claus FIDO protegides amb PIN a ssh-agent (es mostra una sol·licitud de PIN en el moment de l'autenticació).
- ssh-keygen permet triar l'algorisme hash (sha512 o sha256) durant la signatura.
Per millorar el rendiment, ssh i sshd llegeixen les dades de la xarxa directament al memòria intermèdia del paquet entrant, sense passar pel memòria intermèdia a la pila. La col·locació directa de les dades rebudes a la memòria intermèdia del canal s'implementa de manera similar. - A ssh, la directiva PubkeyAuthentication ha ampliat la llista de paràmetres admesos (yes|no|unbound|host-bound) per proporcionar la capacitat de seleccionar quina extensió de protocol utilitzar.
En una versió futura, està previst canviar la utilitat scp per defecte per utilitzar SFTP en lloc del protocol SCP/RCP heretat. SFTP utilitza mètodes de maneig de noms més predictibles i no utilitza el processament de shell de patrons glob en noms de fitxer a l'altra banda de l'amfitrió, cosa que crea problemes de seguretat.
En particular, quan s'usa SCP i RCP, el servidor decideix quins fitxers i directoris enviar al client, i el client només verifica l'exactitud dels noms dels objectes retornats, cosa que, en absència de controls adequats per part del client, permet que el servidor per transferir altres noms de fitxer que difereixen dels sol·licitats. El protocol SFTP no té aquests problemes, però no admet l'expansió de rutes especials com a «~/
Finalment si estàs interessat en conèixer més a l'respecte sobre aquesta nova versió, pots consultar els detalls dirigint-te a el següent enllaç.
¿Com instal·lar OpenSSH 8.9 en Linux?
Per als que estiguin interessats en poder instal·lar aquesta nova versió d'OpenSSH en els seus sistemes, de moment podran fer-ho descarregant el codi font d'aquest i realitzant la compilació en els seus equips.
Això és degut al fet que la nova versió encara no s'ha inclòs dins dels repositoris de les principals distribucions de Linux. Per obtenir el codi font, pots fer des del següent enllaç.
Feta la descàrrega, ara anem a descomprimir el paquet amb la següent comanda:
tar -xvf openssh-8.9.tar.gz
Entrem a directori creat:
cd openssh-8.9
Y podrem realitzar la compilació amb les següents comandes:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install