La nouvelle version d'OpenSSH 8.1 arrive en résolvant une vulnérabilité

OpenSSH

Après six mois de développement La version OpenSSH 8.1 a été dévoilée, qui est un ensemble d'applications qui permettent des communications cryptées sur un réseau, en utilisant le protocole SSH, en tant qu'implémentation client et serveur open source pour fonctionner sur SSH 2.0 et SFTP.

Cette nouvelle version de OpenSSH 8.1 est livré avec quelques améliorationsmais l'un des points forts est le correctif de la vulnérabilité affectant ssh, sshd, ssh-add et ssh-keygen. Le problème est présent dans le code d'analyse de la clé privée avec le type XMSS et permet à l'attaquant de déclencher un débordement. La vulnérabilité est marquée comme exploitable, mais non applicable, comme la prise en charge de la clé XMSS fait référence à des fonctionnalités expérimentales désactivées par défaut (dans la version portable, autoconf ne fournit même pas d'option pour activer XMSS).

Principales nouveautés d'OpenSSH 8.1

Dans cette nouvelle version d'OpenSSH 8.1 se a ajouté un code à ssh, sshd et ssh-agent qui empêche la récupération de la clé privée située dans la RAM à la suite d'attaques sur des canaux tiers tels que Spectre, Fusion, RangéeHammer et RAMBleed.

Les clés privées sont désormais cryptées lorsqu'elles sont chargées en mémoire et décryptées uniquement sur place d'utilisation, le reste du temps restant est crypté. Avec cette approche, pour réussir à récupérer la clé privée, l'attaquant doit d'abord restaurer la clé intermédiaire 16K générée aléatoirement pour chiffrer la clé primaire, ce qui est peu probable avec le taux d'erreur de récupération typique des attaques modernes.

Un autre changement majeur qui se démarque est ssh-keygen qui a été ajouté comme support expérimental pour un schéma simplifié de création et de vérification des signatures numériques. Les signatures numériques peuvent être créées à l'aide de clés SSH ordinaires stockées sur disque ou dans ssh-agent et vérifiées par une liste de clés valides similaires aux clés autorisées.

Les informations d'espace de noms sont intégrées dans la signature numérique pour éviter toute confusion lorsqu'elles sont appliquées dans plusieurs champs (par exemple, pour les e-mails et les fichiers).

Ssh-keygen est activé par défaut pour utiliser l'algorithme rsa-sha2-512 lors de la vérification de certificats avec une signature numérique basée sur la clé RSA (lorsque vous travaillez en mode CA).

Ces certificats sont incompatibles avec les versions antérieures à OpenSSH 7.2 (Pour assurer la compatibilité, remplacez le type d'algorithme, par exemple en appelant "ssh-keygen -t ssh-rsa -s ...").

Dans ssh, l'expression ProxyCommand prend en charge l'extension "% n" (le nom d'hôte spécifié dans la barre d'adresse).

Dans les listes d'algorithmes de chiffrement pour ssh et sshd, le symbole "^"time peut être utilisé pour insérer les algorithmes par défaut. Ssh-keygen fournit la sortie d'un commentaire attaché à une clé lorsqu'une clé publique est extraite d'une clé privée.

Ssh-keygen ajoute la possibilité d'utiliser l'indicateur -v lors de l'exécution d'opérations de recherche de clé (par exemple, ssh-keygen -vF hôte), dont l'indication conduit à l'affichage d'une signature d'hôte claire.

Enfin, une autre nouveauté exceptionnelle est l'ajout de la possibilité d'utiliser PKCS8 comme un autre format pour stocker les clés privées Sur le disque. Par défaut, le format PEM continue d'être utilisé et PKCS8 peut être utile pour la compatibilité avec des applications tierces.

Comment installer OpenSSH 8.1 sur Linux?

Pour ceux qui souhaitent pouvoir installer cette nouvelle version d'OpenSSH sur leurs systèmes, pour l'instant ils peuvent le faire télécharger le code source de ceci et effectuer la compilation sur leurs ordinateurs.

En effet, la nouvelle version n'a pas encore été incluse dans les référentiels des principales distributions Linux. Pour obtenir le code source d'OpenSSH 8.1, nous devons juste ouvrir un terminal et y taper la commande suivante:

wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz

Terminé le téléchargement, maintenant, nous allons décompresser le package avec la commande suivante:

tar -xvf openssh-8.1p1.tar.gz

Nous entrons dans le répertoire créé:

cd openssh-8.1p1.tar.gz

Y nous pouvons compiler avec les commandes suivantes:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.