OpenSSH 8.3 ja aquesta aquí i aquestes són les seves novetats

Darkcrizt

4 minuts

Després de tres mesos de desenvolupament, es va presentar el llançament de la nova versió d'OpenSSH 8.3, en la qual es destaca una nova protecció afegida contra atacs scp, El que permet a l'servidor transferir altres noms d'arxius que difereixen de les sol·licitades (A diferència de la vulnerabilitat anterior, l'atac no permet canviar el directori seleccionat per l'usuari o la màscara global).

A SCP, el servidor decideix quins arxius i directoris enviar a el client i el client només verifica l'exactitud dels noms dels objectes retornats. L'essència de el problema identificat és que si falla la crida a sistema de temps, el contingut d'l'arxiu s'interpreta com metadades d'arxiu.

Quan es connecta a un servidor controlat per un atacant, aquesta funció es pot fer servir per guardar altres noms d'arxiu i altres continguts al FS de l'usuari a l'copiar usant scp en configuracions que provoquen falles en els temps. Per exemple, quan els temps estan deshabilitats per la política de SELinux o el filtre de trucades de el sistema.

S'estima que la probabilitat d'atacs reals és mínima, ja que en configuracions típiques la crida de temps no falla. A més, l'atac no passa desapercebut: quan es diu a scp, es mostra un error de transmissió de dades.

Adéu a SHA-1

A més els desenvolupadors d'OpenSSH també van advertir una vegada més sobre la propera transferència a la categoria d'algoritmes obsolets que fan servir hash SHA-1, a causa d'un augment en l'eficiència dels atacs de col·lisió amb un prefix donat (el cost de la selecció de col·lisió s'estima en al voltant de $ 45 mil).

En un dels següents problemes, Planegen desactivar per defecte la capacitat d'usar l'algorisme de signatura digital de clau pública ssh-rsa, que s'esmenta en el RFC original per al protocol SSH i segueix sent generalitzat en la pràctica.

possibles candidats

Per facilitar la transició a nous algoritmes en OpenSSH en una de les properes versions, la configuració UpdateHostKeys s'habilitarà per defecte, el que canviarà automàticament als clients a algoritmes més fiables.

Entre els algoritmes recomanats per a la migració estan: rsa-sha2-256 / 512 basat en RFC8332 RSA SHA-2 (compatible amb OpenSSH 7.2 i utilitzat per defecte), ssh-ed25519 (compatible amb OpenSSH 6.5) i ECDSA-sha2-nistp256 / 384/521 basat en RFC5656 ECDSA (compatible amb OpenSSH 5.7).

altres canvis

Des de l'últim número, «ssh-rsa» i «Diffie-Hellman-group14-sha1»S'han eliminat de la llista CASignatureAlgorithms, Que defineix els algoritmes vàlids per a signar digitalment nous certificats, ja que l'ús de SHA-1 en els certificats comporta un risc addicional a causa de que l'atacant té temps il·limitat per buscar col·lisions per un certificat existent, mentre que el temps d'atac en les claus de l'host està limitat pel temps d'espera de connexió (LoginGraceTime).

Dels demés canvis que es destaquen d'aquesta nova versió són:

  • En sftp, el processament «-1» s'atura, de manera similar a ssh i scp, que va ser prèviament acceptat però ignorat.
  • En sshd quan s'usa IgnoreRhosts, ara es proporcionen tres opcions: «yes» per ignorar rhosts / shosts, «no» per a considerar rhosts / shosts i «shosts-only» que és permetre «.shosts», però desactiva «.rhosts» .
  • En ssh, el processament de la substitució% TOKEN es proporciona en la configuració LocalFoward i RemoteForward utilitzada per redirigir els sockets Unix.
  • Està permès descarregar claus públiques d'un arxiu no xifrat amb una clau privada, si no hi ha un arxiu separat amb una clau pública.
  • Si el sistema té libcrypto a ssh i sshd, ara fa servir la implementació de l'algoritme chacha20 d'aquesta biblioteca, en lloc de la implementació portàtil incorporada, que té un rendiment inferior.
  • Es va implementar la capacitat de bolcar el contingut de la llista binària de certificats revocats a l'executar la comanda «ssh-keygen -lQf / path».
  • La versió portàtil implementa definicions de sistema en les quals els senyals amb l'opció SA_RESTART interrompen la selecció;
  • Problemes de compilació resolts en sistemes HP / UX i AIX.
  • Es van corregir problemes de compilació per seccomp sandbox en algunes configuracions de Linux.
  • La definició de la biblioteca libfido2 s'ha millorat i els problemes de compilació s'han resolt amb l'opció -with-security-key-builtin.

¿Com instal·lar OpenSSH 8.3 en Linux?

Per als que estiguin interessats en poder instal·lar aquesta nova versió d'OpenSSH en els seus sistemes, de moment podran fer-ho descarregant el codi font d'aquest i realitzant la compilació en els seus equips.

Això és degut al fet que la nova versió encara no s'ha inclòs dins dels repositoris de les principals distribucions de Linux. Per obtenir el codi font, pots fer des del següent enllaç.

Feta la descàrrega, ara anem a descomprimir el paquet amb la següent comanda:

tar -xvf openssh-8.3.tar.gz

Entrem a directori creat:

cd openssh-8.3

Y podrem realitzar la compilació amb les següents comandes:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Chiwy va dir
    fa 4 anys

    Gràcies per la informació :)

    Respondre a Chiwy