OpenSSH 8.3 on täällä ja nämä ovat sen uutisia

Kolmen kuukauden kehityksen jälkeen esiteltiin OpenSSH 8.3: n uuden version julkaisu, missä korostaa uutta lisäsuojaa scp-hyökkäyksiltä, mitä sallii palvelimen siirtää muita pyydettyjen tiedostojen nimiä (Toisin kuin edellinen haavoittuvuus, hyökkäys ei salli käyttäjän valitseman hakemiston tai yleisen maskin muuttamista.)

SCP: ssä palvelin päättää, mitkä tiedostot ja hakemistot lähetetään asiakkaalle, ja asiakas tarkistaa vain tarkkuuden palautettujen objektien nimistä. Tunnistetun ongelman ydin on, että jos kutsu ajoitusjärjestelmään epäonnistuu, tiedoston sisältö tulkitaan tiedoston metatiedoksi.

Kun muodostat yhteyden hyökkääjän ohjaamaan palvelimeen, tätä toimintoa voidaan käyttää muiden nimien tallentamiseen tiedostot ja muu sisältö käyttäjän FS: ssä, kun kopioit scp: llä asetuksissa, jotka aiheuttavat ajoitusvirheitä. Esimerkiksi, kun ajat on poistettu käytöstä SELinux-käytännön tai järjestelmäkutsusuodattimen avulla.

Todellisten hyökkäysten todennäköisyyden arvioidaan olevan minimaalinen, koska tyypillisissä kokoonpanoissa aikakutsu ei onnistu. Hyökkäys ei myöskään jää huomaamatta: kun scp kutsutaan, näyttöön tulee tiedonsiirtovirhe.

Hyvästi SHA-1

Lisäksi OpenSSH-kehittäjät varoitti jälleen kerran tulevasta siirtymisestä vanhentuneisiin algoritmeihin jotka käyttävät SHA-1-hajautusta johtuen törmäyshyökkäysten tehokkuuden kasvusta tietyllä etuliitteellä (törmäyksen valinnan kustannusten arvioidaan olevan noin 45 XNUMX dollaria).

Yhdessä seuraavista ongelmista, he aikovat poistaa sen käytöstä oletusarvoisesti kyky käyttää julkisen avaimen ssh-rsa-digitaalisen allekirjoituksen algoritmia, joka mainitaan alkuperäisessä RFC: ssä SSH-protokollalle ja joka on edelleen laajalle levinnyt käytännössä.

Mahdolliset ehdokkaat

Helpottaaksesi siirtymistä uusiin algoritmeihin OpenSSH: ssä tulevassa julkaisussa, UpdateHostKeys-asetus on oletusarvoisesti käytössä, joka vaihtaa asiakkaita automaattisesti luotettavampiin algoritmeihin.

Siirtymisen suositeltujen algoritmien joukossa Ne ovat: rsa-sha2-256 / 512, joka perustuu RFC8332: een RSA SHA-2 (yhteensopiva OpenSSH 7.2: n kanssa ja käytetään oletusarvoisesti), ssh-ed25519 (yhteensopiva OpenSSH 6.5: n kanssa) ja ecdsa-sha2-nistp256 / 384/521, joka perustuu RFC5656: een ECDSA (OpenSSH 5.7 -yhteensopiva).

Muut muutokset

Viime numerosta alkaen "ssh-rsa" ja "diffie-hellman-group14-sha1"»On poistettu CASignatureAlgorithms-luettelosta, joka määrittelee kelvolliset algoritmit uusien varmenteiden digitaaliseen allekirjoittamiseen, koska SHA-1: n käyttö varmenteissa aiheuttaa ylimääräisen riskin, koska hyökkääjällä on rajoittamaton aika etsiä törmäyksiä olemassa olevalle varmenteelle, kun taas isäntäavaimien hyökkäysaika on rajoitettu yhteyden aikakatkaisu (LoginGraceTime).

Muista muutoksista jotka erottuvat tästä uudesta versiosta ovat:

  • Sftp: ssä "-1" -käsittely pysähtyy, samanlainen kuin ssh ja scp, jotka hyväksyttiin aiemmin, mutta jätettiin huomiotta.
  • Sshd: ssä käytettäessä IgnoreRhosts-ohjelmaa on nyt tarjolla kolme vaihtoehtoa: "kyllä" ohittaa rhostit / shostit, "ei" ottaa huomioon rhosts / shostit ja "vain shosts", mikä sallii ".shosts", mutta poistaa ".rhosts" käytöstä .
  • Ssh: ssä% TOKEN-ohituskäsittely annetaan LocalFoward- ja RemoteForward-määrityksissä, joita käytetään Unix-pistorasioiden uudelleenohjaamiseen.
  • Julkisten avainten lataaminen on sallittua tiedostosta, jota ei ole salattu yksityisellä avaimella, jos julkisella avaimella ei ole erillistä tiedostoa.
  • Jos järjestelmässä on libcrypto ssh: ssä ja sshd: ssä, se käyttää nyt tämän kirjaston chacha20-algoritmien toteutusta sisäänrakennetun kannettavan toteutuksen sijaan, jolla on heikompi suorituskyky.
  • Kyky tyhjentää peruutettujen varmenteiden binääriluettelon sisältö komentoa "ssh-keygen -lQf / polku" suoritettaessa on toteutettu.
  • Kannettava versio toteuttaa järjestelmän määritelmät, joissa SA_RESTART-vaihtoehdolla varustetut signaalit rikkovat valinnan;
  • HP / UX- ja AIX-järjestelmissä korjattavat kokoamisongelmat.
  • Korjattu seccomp-hiekkalaatikon kokoamisongelmat joissakin Linux-kokoonpanoissa.
  • Libfido2-kirjaston määritelmää on parannettu ja kokoamisongelmat on ratkaistu –with-security-key-builtin -vaihtoehdolla.

Kuinka asentaa OpenSSH 8.3 Linuxiin?

Niille, jotka ovat kiinnostuneita asentamaan tämän uuden OpenSSH-version järjestelmiinsä, toistaiseksi he voivat tehdä sen lataamalla tämän ja suorittavat kokoamisen tietokoneillaan.

Tämä johtuu siitä, että uutta versiota ei ole vielä sisällytetty tärkeimpien Linux-jakelujen arkistoihin. Voit hankkia lähdekoodin tekemällä sen seuraava linkki.

Valmis lataus, nyt aiomme purkaa paketin seuraavalla komennolla:

tar -xvf openssh-8.3.tar.gz

Annamme luodun hakemiston:

cd openssh-8.3

Y voimme koota seuraavat komennot:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Kommentti, jätä sinun

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   chiwy dijo

    Kiitos tiedosta :)