OpenSSH 8.3 est là et voici ses actualités

Après trois mois de développement, la sortie de la nouvelle version d'OpenSSH 8.3 a été présentée, dans laquelle met en évidence une nouvelle protection supplémentaire contre les attaques scp, Qui permet au serveur de transférer d'autres noms de fichiers différents de ceux demandés (Contrairement à la vulnérabilité précédente, l'attaque ne permet pas de changer le répertoire sélectionné par l'utilisateur ou le masque global).

Dans SCP, le serveur décide quels fichiers et répertoires envoyer au client et le client ne vérifie que l'exactitude des noms d'objets renvoyés. L'essence du problème identifié est que si l'appel au système de chronométrage échoue, le contenu du fichier est interprété comme des métadonnées de fichier.

Lors de la connexion à un serveur contrôlé par un attaquant, cette fonction peut être utilisée pour enregistrer d'autres noms Fichier et autre contenu dans le FS de l'utilisateur lors de la copie à l'aide de scp dans des paramètres qui provoquent des échecs de synchronisation. Par exemple, lorsque les heures sont désactivées par la stratégie SELinux ou le filtre d'appel système.

La probabilité d'attaques réelles est estimée minime, car dans les configurations typiques, l'appel temporel n'échoue pas. De plus, l'attaque ne passe pas inaperçue: à l'appel de scp, une erreur de transmission de données est affichée.

Au revoir à SHA-1

De plus, les développeurs OpenSSH averti une fois de plus du prochain transfert vers la catégorie des algorithmes obsolètes qui utilisent le hachage SHA-1, en raison d'une augmentation de l'efficacité des attaques de collision avec un préfixe donné (le coût de la sélection de collision est estimé à environ 45 K $)

Dans l'un des problèmes suivants, ils prévoient de désactiver par défaut, la possibilité d'utiliser l'algorithme de signature numérique à clé publique ssh-rsa, qui est mentionné dans la RFC d'origine pour le protocole SSH et reste largement répandue dans la pratique.

Candidats possibles

Pour faciliter la transition vers de nouveaux algorithmes dans OpenSSH dans une prochaine version, le paramètre UpdateHostKeys sera activé par défaut, qui basculera automatiquement les clients vers des algorithmes plus fiables.

Parmi les algorithmes recommandés pour la migration Ce sont: rsa-sha2-256 / 512 basé sur RFC8332 RSA SHA-2 (compatible avec OpenSSH 7.2 et utilisé par défaut), ssh-ed25519 (compatible avec OpenSSH 6.5) et ecdsa-sha2-nistp256 / 384/521 basé sur RFC5656 ECDSA (compatible OpenSSH 5.7).

Autres changements

Tiré du dernier numéro, "ssh-rsa" et "diffie-hellman-group14-sha1»Ont été supprimés de la liste CASignatureAlgorithms, qui définit les algorithmes valides pour signer numériquement de nouveaux certificats, car l'utilisation de SHA-1 dans les certificats comporte un risque supplémentaire car l'attaquant dispose d'un temps illimité pour rechercher des collisions pour un certificat existant, tandis que le temps d'attaque dans les clés d'hôte est limité par délai d'expiration de la connexion (LoginGraceTime).

Des autres changements qui se démarquent de cette nouvelle version sont:

  • Dans sftp, le traitement "-1" s'arrête, similaire à ssh et scp, qui était auparavant accepté mais ignoré.
  • Dans sshd lors de l'utilisation d'IgnoreRhosts, trois options sont maintenant fournies: "yes" pour ignorer les rhosts / shosts, "no" pour prendre en compte les rhosts / shosts et "shosts-only" qui autorise ".shosts", mais désactive ".rhosts" .
  • Dans ssh, le traitement de remplacement% TOKEN est fourni dans la configuration LocalFoward et RemoteForward utilisée pour rediriger les sockets Unix.
  • Il est permis de télécharger des clés publiques à partir d'un fichier non chiffré avec une clé privée, s'il n'y a pas de fichier séparé avec une clé publique.
  • Si le système a libcrypto dans ssh et sshd, il utilise désormais l'implémentation de l'algorithme chacha20 de cette bibliothèque, au lieu de l'implémentation portable intégrée, qui a des performances inférieures.
  • La possibilité de vider le contenu de la liste binaire des certificats révoqués lors de l'exécution de la commande "ssh-keygen -lQf / path" a été implémentée.
  • La version portable implémente des définitions de système dans lesquelles les signaux avec l'option SA_RESTART interrompent la sélection;
  • Problèmes de compilation résolus sur les systèmes HP / UX et AIX.
  • Correction de problèmes de compilation pour le bac à sable seccomp sur certaines configurations Linux.
  • La définition de la bibliothèque libfido2 a été améliorée et les problèmes de compilation ont été résolus avec l'option –with-security-key-builtin.

Comment installer OpenSSH 8.3 sur Linux?

Pour ceux qui souhaitent pouvoir installer cette nouvelle version d'OpenSSH sur leurs systèmes, pour l'instant ils peuvent le faire télécharger le code source de ceci et effectuer la compilation sur leurs ordinateurs.

En effet, la nouvelle version n'a pas encore été incluse dans les référentiels des principales distributions Linux. Pour obtenir le code source, vous pouvez le faire à partir du lien ci-dessous.

Terminé le téléchargement, maintenant, nous allons décompresser le package avec la commande suivante:

tar -xvf openssh-8.3.tar.gz

Nous entrons dans le répertoire créé:

cd openssh-8.3

Y nous pouvons compiler avec les commandes suivantes:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Le contenu de l'article adhère à nos principes de éthique éditoriale. Pour signaler une erreur, cliquez sur c'est par ici !.

Un commentaire, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Chiwy dit

    Merci pour l'information :)