Μετά από έξι μήνες ανάπτυξης Ανακοινώθηκε η κυκλοφορία του OpenSSH 8.9, στο οποίο Διόρθωση ευπάθειας στο sshd που θα μπορούσε ενδεχομένως να επιτρέψει την πρόσβαση χωρίς έλεγχο ταυτότητας. Το πρόβλημα προκαλείται από υπερχείλιση ακέραιου αριθμού στον κώδικα ελέγχου ταυτότητας, αλλά η εκμετάλλευση είναι δυνατή μόνο σε συνδυασμό με άλλα λογικά σφάλματα στον κώδικα.
Στην τρέχουσα μορφή του, η ευπάθεια δεν μπορεί να αξιοποιηθεί όταν είναι ενεργοποιημένη η διαίρεση των προνομίων, καθώς η εκδήλωσή του αποκλείεται από ξεχωριστούς ελέγχους που πραγματοποιούνται στον κώδικα παρακολούθησης διαίρεσης προνομίου.
Η λειτουργία κοινόχρηστων προνομίων ενεργοποιήθηκε από προεπιλογή το 2002 από το OpenSSH 3.2.2 και απαιτείται από την κυκλοφορία του OpenSSH 2017 το 7.5. Επιπλέον, στις φορητές εκδόσεις του OpenSSH από την έκδοση 6.5 (2014), η ευπάθεια αποκλείεται με τη μεταγλώττιση με τη συμπερίληψη σημαιών για προστασία από υπερχείλιση ακεραίων.
Κύρια νέα χαρακτηριστικά του OpenSSH 8.9
Σε αυτή τη νέα έκδοση που παρουσιάζεται μπορούμε να διαπιστώσουμε ότι το lΗ φορητή έκδοση του OpenSSH καταργεί την ενσωματωμένη υποστήριξη sshd για κατακερματισμό κωδικού πρόσβασης χρησιμοποιώντας τον αλγόριθμο MD5 (επιτρέπεται η επανασύνδεση με εξωτερικές βιβλιοθήκες όπως το libxcrypt)
Τα ssh, sshd, ssh-add και ssh-agent υλοποιούν ένα υποσύστημα για τον περιορισμό της προώθησης και χρήσης κλειδιών που προστίθενται στο ssh-agent.
Το υποσύστημα επιτρέπει τη ρύθμιση κανόνων που καθορίζουν πώς και πού μπορούν να χρησιμοποιηθούν τα κλειδιά στο ssh-agent. Για παράδειγμα, για να προσθέσετε ένα κλειδί που μπορεί να χρησιμοποιηθεί μόνο για έλεγχο ταυτότητας όταν κάποιος χρήστης συνδέεται με τον κεντρικό υπολογιστή scylla.example.org, ο χρήστης perseus συνδέεται με τον κεντρικό υπολογιστή cetus.example.org και ο χρήστης medea συνδέεται με τον κεντρικό υπολογιστή charybdis.example .org, ανακατεύθυνση μέσω ενός ενδιάμεσου κεντρικού υπολογιστή scylla.example.org.
En ssh και sshd, η λίστα KexAlgorithms, που καθορίζει τη σειρά με την οποία επιλέγονται οι μέθοδοι ανταλλαγής κλειδιών, έχει προσθέσει από προεπιλογή τον υβριδικό αλγόριθμο "sntrup761x25519-sha512@openssh.com» (ECDH/x25519 + NTRU Prime), το οποίο είναι ανθεκτικό στην επιλογή σε κβαντικούς υπολογιστές. Στο OpenSSH 8.9, αυτή η μέθοδος διαπραγμάτευσης προστέθηκε μεταξύ των μεθόδων ECDH και DH, αλλά σχεδιάζεται να ενεργοποιηθεί από προεπιλογή στην επόμενη έκδοση.
Τα ssh-keygen, ssh και ssh-agent έχουν βελτιωμένο χειρισμό των κλειδιών διακριτικών FIDO χρησιμοποιείται για την επαλήθευση συσκευής, συμπεριλαμβανομένων των κλειδιών για βιομετρικό έλεγχο ταυτότητας.
Από τις άλλες αλλαγές που ξεχωρίζουν σε αυτήν τη νέα έκδοση:
- Προστέθηκε η εντολή "ssh-keygen -Y match-principals" στο ssh-keygen για έλεγχο των ονομάτων χρήστη σε ένα αρχείο με μια λίστα επιτρεπόμενων ονομάτων.
- Τα ssh-add και ssh-agent παρέχουν τη δυνατότητα προσθήκης κλειδιών FIDO με προστασία PIN στο ssh-agent (εμφανίζεται μια προτροπή PIN κατά τον χρόνο ελέγχου ταυτότητας).
- Το ssh-keygen σάς επιτρέπει να επιλέξετε τον αλγόριθμο κατακερματισμού (sha512 ή sha256) κατά την υπογραφή.
Για να βελτιώσετε την απόδοση, τα ssh και sshd διαβάζουν δεδομένα δικτύου απευθείας στην προσωρινή μνήμη εισερχόμενων πακέτων, παρακάμπτοντας την ενδιάμεση προσωρινή μνήμη στη στοίβα. Η απευθείας τοποθέτηση των ληφθέντων δεδομένων στην προσωρινή μνήμη καναλιού υλοποιείται με παρόμοιο τρόπο. - Στο ssh, η οδηγία PubkeyAuthentication έχει επεκτείνει τη λίστα των υποστηριζόμενων παραμέτρων (ναι|όχι|χωρίς δέσμευση|δέσμευση κεντρικού υπολογιστή) για να παρέχει τη δυνατότητα επιλογής της επέκτασης πρωτοκόλλου που θα χρησιμοποιηθεί.
Σε μελλοντική έκδοση, σχεδιάζεται να αλλάξει το βοηθητικό πρόγραμμα scp προεπιλογή για χρήση SFTP αντί για το παλαιού τύπου πρωτόκολλο SCP/RCP. Το SFTP χρησιμοποιεί πιο προβλέψιμες μεθόδους χειρισμού ονομάτων και δεν χρησιμοποιεί επεξεργασία κελύφους μοτίβων σφαιρών σε ονόματα αρχείων στην άλλη πλευρά του κεντρικού υπολογιστή, γεγονός που δημιουργεί ζητήματα ασφαλείας.
Συγκεκριμένα, όταν χρησιμοποιεί SCP και RCP, ο διακομιστής αποφασίζει ποια αρχεία και καταλόγους θα στείλει στον πελάτη και ο πελάτης ελέγχει μόνο την ορθότητα των ονομάτων των επιστρεφόμενων αντικειμένων, κάτι που, ελλείψει κατάλληλων ελέγχων από τον πελάτη, επιτρέπει ώστε ο διακομιστής να μεταφέρει άλλα ονόματα αρχείων που διαφέρουν από αυτά που ζητήθηκαν. Το πρωτόκολλο SFTP δεν έχει αυτά τα προβλήματα, αλλά δεν υποστηρίζει την επέκταση ειδικών διαδρομών όπως "~/
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό σχετικά με αυτήν τη νέα έκδοση, μπορείτε να ελέγξετε τις λεπτομέρειες μεταβαίνοντας στον παρακάτω σύνδεσμο.
Πώς να εγκαταστήσετε το OpenSSH 8.9 σε Linux;
Για όσους ενδιαφέρονται να εγκαταστήσουν αυτήν τη νέα έκδοση του OpenSSH στα συστήματά τους, για τώρα μπορούν να το κάνουν λήψη του πηγαίου κώδικα αυτού και εκτελούν τη συλλογή στους υπολογιστές τους.
Αυτό συμβαίνει επειδή η νέα έκδοση δεν έχει ακόμη συμπεριληφθεί στα αποθετήρια των κύριων διανομών Linux. Για να λάβετε τον πηγαίο κώδικα, μπορείτε να το κάνετε από το παρακάτω σύνδεσμο.
Έγινε η λήψη, τώρα θα αποσυμπιέσουμε το πακέτο με την ακόλουθη εντολή:
tar -xvf openssh-8.9.tar.gz
Μπαίνουμε στον δημιουργημένο κατάλογο:
cd openssh-8.9
Y μπορούμε να συντάξουμε με τις ακόλουθες εντολές:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install