OpenSSH 8.0 est disponible pour tester et détecter les bogues avant sa publication.

OpenSSH

Récemment Les développeurs d'OpenSSH viennent d'annoncer que la version 8.0 de cet outil de sécurité pour la connexion à distance avec le protocole SSH il est presque prêt à être publié.

Damien Miller, l'un des principaux développeurs du projet, juste appelé la communauté des utilisateurs de cet outil pour qu'ils puissent l'essayer puisque, avec suffisamment d'yeux, toutes les erreurs peuvent être détectées à temps.

Les personnes qui décident d'utiliser cette nouvelle version pourront Non seulement ils vous aideront à tester les performances et à détecter les erreurs sans échec, mais vous pourrez également découvrir de nouvelles améliorations provenant de diverses commandes.

Au niveau de la sécurité, par exemple, des mesures d'atténuation des faiblesses du protocole scp ont été introduites dans cette nouvelle version d'OpenSSH.

En pratique, la copie de fichiers avec scp sera plus sécurisée dans OpenSSH 8.0 car la copie de fichiers d'un répertoire distant vers un répertoire local amènera scp à vérifier si les fichiers envoyés par le serveur correspondent à la demande émise.

Si ce mécanisme n'est pas implémenté, un serveur d'attaque pourrait, en théorie, intercepter la requête en délivrant des fichiers malveillants au lieu de ceux initialement demandés.

Cependant, malgré ces mesures d'atténuation, OpenSSH ne recommande pas l'utilisation du protocole scp, car il est «obsolète, inflexible et difficile à résoudre».

 "Nous vous recommandons d'utiliser des protocoles plus modernes comme sftp et rsync pour les transferts de fichiers", a averti Miller.

Que proposera cette nouvelle version d'OpenSSH?

Dans le package «News» de cette nouvelle version inclut un certain nombre de modifications pouvant affecter les configurations existantes.

Par exemple, au niveau précité du protocole scp, puisque ce protocole est basé sur un shell distant, il n'y a aucun moyen sûr que les fichiers transférés depuis le client correspondent à ceux du serveur.

S'il existe une différence entre le client générique et l'extension serveur, le client peut rejeter les fichiers du serveur.

Pour cette raison, l'équipe d'OpenSSH a fourni à scp un nouvel indicateur "-T" qui désactive les contrôles côté client pour réintroduire l'attaque décrite ci-dessus.

Au niveau demond sshd: l'équipe d'OpenSSH a supprimé le support de la syntaxe obsolète "hôte / port".

Un hôte / port séparé par des barres obliques a été ajouté en 2001 à la place de la syntaxe «hôte: port» pour les utilisateurs IPv6.

Aujourd'hui, la syntaxe slash est facilement confondue avec la notation CIDR, qui est également prise en charge par OpenSSH.

Autres nouvelles

Par conséquent, il est conseillé de supprimer la notation barre oblique de ListenAddress et PermitOpen. En plus de ces changements, nous avons de nouvelles fonctionnalités ajoutées à OpenSSH 8.0. Ceux-ci inclus:

Une méthode expérimentale d'échange de clés pour les ordinateurs quantiques apparue dans cette version.

Le but de cette fonction est de résoudre les problèmes de sécurité qui peuvent survenir lors de la distribution de clés entre parties, compte tenu des menaces pesant sur les avancées technologiques, comme l'augmentation de la puissance de calcul des machines, les nouveaux algorithmes pour les ordinateurs quantiques.

Pour ce faire, cette méthode s'appuie sur la solution de distribution de clé quantique (QKD en abrégé).

Cette solution utilise des propriétés quantiques pour échanger des informations secrètes, telles qu'une clé cryptographique.

En principe, mesurer un système quantique modifie le système. De plus, si un pirate tentait d'intercepter une clé cryptographique émise via une implémentation QKD, il laisserait inévitablement des empreintes digitales détectables pour OepnSSH.

En outre, la taille par défaut de la clé RSA qui a été mise à jour à 3072 bits.

Parmi les autres nouvelles rapportées sont les suivantes:

  • Ajout de la prise en charge des clés ECDSA dans les jetons PKCS
  • l'autorisation de "PKCS11Provide = none" de remplacer les instances suivantes de la directive PKCS11Provide dans ssh_config.
  • Un message de journal est ajouté pour les situations où une connexion est interrompue après avoir tenté d'exécuter une commande alors qu'une contrainte sshd_config ForceCommand = internal-sftp est en vigueur.

Pour plus de détails, une liste complète des autres ajouts et corrections de bogues est disponible sur la page officielle.

Pour essayer cette nouvelle version, vous pouvez aller vers le lien suivant. 


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.