Kuuden kuukauden kehityksen jälkeen OpenSSH 8.9 -julkaisu julkistettiin, jossa korjaa sshd:n haavoittuvuus mikä saattaa mahdollistaa pääsyn ilman todennusta. Ongelman aiheuttaa kokonaisluvun ylivuoto todennuskoodissa, mutta hyväksikäyttö on mahdollista vain yhdessä muiden koodin loogisten virheiden kanssa.
Nykyisessä muodossaan haavoittuvuutta ei voida hyödyntää, kun oikeuksien jako on käytössä, koska sen ilmentymisen estävät erilliset tarkastukset, jotka suoritetaan etuoikeusjaon seurantakoodille.
Jaettu käyttöoikeustila otettiin oletusarvoisesti käyttöön vuonna 2002 OpenSSH 3.2.2:sta lähtien, ja sitä on vaadittu OpenSSH 2017:n vuoden 7.5 julkaisusta lähtien. Lisäksi OpenSSH:n kannettavissa versioissa versiosta 6.5 (2014) lähtien haavoittuvuus on estetty kääntämällä merkintöjä, jotka suojaavat kokonaislukujen ylivuodolta.
OpenSSH 8.9: n tärkeimmät uudet ominaisuudet
Tässä esitellyssä uudessa versiossa voimme huomata, että lOpenSSH:n kannettava versio poistaa sisäänrakennetun sshd-tuen salasanan hajauttamiseen MD5-algoritmilla (uudelleenlinkitys ulkoisiin kirjastoihin, kuten libxcrypt on sallittu)
ssh, sshd, ssh-add ja ssh-agent toteuttavat alijärjestelmän rajoittamaan ssh-agentiin lisättyjen avainten edelleenlähetystä ja käyttöä.
Osajärjestelmä mahdollistaa sääntöjen asettamisen, jotka määrittävät kuinka ja missä avaimia voidaan käyttää ssh-agentissa. Jos esimerkiksi haluat lisätä avaimen, jota voidaan käyttää vain todentamiseen, kun joku käyttäjä muodostaa yhteyden isäntään scylla.example.org, käyttäjä perseus muodostaa yhteyden isäntään cetus.example.org ja käyttäjä medea muodostaa yhteyden isäntäkoneeseen charybdis.example .org, uudelleenohjaus välipalvelimen scylla.example.org kautta.
En ssh ja sshd, KexAlgorithms-luettelo, joka määrittää järjestyksen, jossa avainten vaihtomenetelmät valitaan, on lisännyt oletuksena hybridi-algoritmin "sntrup761x25519-sha512@openssh.com» (ECDH/x25519 + NTRU Prime), joka kestää valintaa kvanttitietokoneissa. OpenSSH 8.9:ssä tämä neuvottelumenetelmä lisättiin ECDH- ja DH-menetelmien välille, mutta se on tarkoitus ottaa oletuksena käyttöön seuraavassa julkaisussa.
ssh-keygen, ssh ja ssh-agent ovat parantaneet FIDO-tunnusavainten käsittelyä käytetään laitteen varmentamiseen, mukaan lukien biometrisen todennuksen avaimet.
Muista muutoksista, jotka erottuvat tässä uudessa versiossa:
- Lisätty "ssh-keygen -Y match-principals" -komento ssh-keygeniin tarkistaaksesi käyttäjätunnukset tiedostossa, jossa on luettelo sallittujen nimien kanssa.
- ssh-add ja ssh-agent tarjoavat mahdollisuuden lisätä PIN-suojattuja FIDO-avaimia ssh-agentiin (PIN-kehote näytetään todennuksen yhteydessä).
- ssh-keygen antaa sinun valita hajautusalgoritmin (sha512 tai sha256) allekirjoituksen aikana.
Suorituskyvyn parantamiseksi ssh ja sshd lukevat verkkotiedot suoraan saapuvien pakettien puskuriin ohittaen pinon välipuskurin. Vastaanotetun datan suora sijoittaminen kanavapuskuriin on toteutettu samalla tavalla. - ssh:ssa PubkeyAuthentication-direktiivi on laajentanut tuettujen parametrien luetteloa (yes|no|unbound|host-bound) antaakseen mahdollisuuden valita käytettävän protokollalaajennus.
Tulevassa versiossa scp-apuohjelmaa on tarkoitus muuttaa oletuksena käyttää SFTP:tä vanhan SCP/RCP-protokollan sijaan. SFTP käyttää ennakoitavampia nimenkäsittelymenetelmiä eikä käytä glob-kuvioiden shell-käsittelyä tiedostonimille isäntäkoneen toisella puolella, mikä aiheuttaa tietoturvaongelmia.
Erityisesti SCP:tä ja RCP:tä käytettäessä palvelin päättää mitkä tiedostot ja hakemistot lähetetään asiakkaalle, ja asiakas tarkistaa vain palautettujen objektien nimien oikeellisuuden, mikä asiakkaan suorittaman asianmukaisen tarkastuksen puuttuessa mahdollistaa. että palvelin siirtää muita tiedostonimiä, jotka poikkeavat pyydetyistä. SFTP-protokollassa ei ole näitä ongelmia, mutta se ei tue erikoispolkujen laajentamista, kuten "~/
Vihdoin jos olet kiinnostunut tietämään siitä lisää tästä uudesta versiosta voit tarkistaa yksityiskohdat siirtymällä seuraavaan linkkiin.
Kuinka asentaa OpenSSH 8.9 Linuxiin?
Niille, jotka ovat kiinnostuneita asentamaan tämän uuden OpenSSH-version järjestelmiinsä, toistaiseksi he voivat tehdä sen lataamalla tämän ja suorittavat kokoamisen tietokoneillaan.
Tämä johtuu siitä, että uutta versiota ei ole vielä sisällytetty tärkeimpien Linux-jakelujen arkistoihin. Voit hankkia lähdekoodin tekemällä sen seuraava linkki.
Valmis lataus, nyt aiomme purkaa paketin seuraavalla komennolla:
tar -xvf openssh-8.9.tar.gz
Annamme luodun hakemiston:
cd openssh-8.9
Y voimme koota seuraavat komennot:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install