La nouvelle version de OpenSSH 8.8 est déjà sorti et cette nouvelle version se distingue par la désactivation par défaut de la possibilité d'utiliser des signatures numériques basé sur des clés RSA avec un hachage SHA-1 ("ssh-rsa").
Fin du support des signatures "ssh-rsa" est due à une augmentation de l'efficacité des attaques par collision avec un préfixe donné (le coût de deviner la collision est estimé à environ 50 mille dollars). Pour tester l'utilisation de ssh-rsa sur un système, vous pouvez essayer de vous connecter via ssh avec l'option "-oHostKeyAlgorithms = -ssh-rsa".
De plus, la prise en charge des signatures RSA avec les hachages SHA-256 et SHA-512 (rsa-sha2-256 / 512), qui sont prises en charge depuis OpenSSH 7.2, n'a pas changé. Dans la plupart des cas, la fin de la prise en charge de "ssh-rsa" ne nécessitera aucune action manuelle. par les utilisateurs, car le paramètre UpdateHostKeys était précédemment activé par défaut dans OpenSSH, qui traduit automatiquement les clients en algorithmes plus fiables.
Cette version désactive les signatures RSA à l'aide de l'algorithme de hachage SHA-1 par défaut. Cette modification a été apportée depuis que l'algorithme de hachage SHA-1 est cryptographiquement cassé, et il est possible de créer le préfixe choisi collisions de hachage par
Pour la plupart des utilisateurs, ce changement devrait être invisible et il n'y a pas besoin de remplacer les clés ssh-rsa. OpenSSH est conforme à la RFC8332 Signatures RSA / SHA-256/512 à partir de la version 7.2 et clés ssh-rsa existantes il utilisera automatiquement l'algorithme le plus puissant dans la mesure du possible.
Pour la migration, l'extension de protocole "hostkeys@openssh.com" est utilisée«, qui permet au serveur, après avoir passé l'authentification, d'informer le client de toutes les clés d'hôte disponibles. Lors de la connexion à des hôtes avec de très anciennes versions d'OpenSSH côté client, vous pouvez inverser de manière sélective la possibilité d'utiliser des signatures "ssh-rsa" en ajoutant ~ / .ssh / config
La nouvelle version corrige également un problème de sécurité causé par sshd, depuis OpenSSH 6.2, initialisant de manière incorrecte le groupe d'utilisateurs lors de l'exécution des commandes spécifiées dans les directives AuthorizedKeysCommand et AuthorizedPrincipalsCommand.
Ces directives devraient garantir que les commandes sont exécutées sous un utilisateur différent, mais en fait, elles ont hérité de la liste des groupes utilisés lors du démarrage de sshd. Potentiellement, ce comportement, compte tenu de certaines configurations système, a permis au contrôleur en cours d'exécution d'obtenir des privilèges supplémentaires sur le système.
Les notes de version ils incluent également un avertissement concernant l'intention de modifier l'utilitaire scp défaut d'utiliser SFTP au lieu de l'ancien protocole SCP/RCP. SFTP applique des noms de méthode plus prévisibles et des modèles globaux de non-traitement sont utilisés dans les noms de fichiers via le shell du côté de l'autre hôte, créant des problèmes de sécurité.
En particulier, lors de l'utilisation de SCP et RCP, le serveur décide quels fichiers et répertoires envoyer au client, et le client vérifie uniquement l'exactitude des noms d'objets renvoyés, ce qui, en l'absence de vérifications appropriées du côté client, permet le serveur pour transmettre d'autres noms de fichiers qui diffèrent de ceux demandés.
SFTP n'a pas ces problèmes, mais ne prend pas en charge l'expansion de routes spéciales telles que "~ /". Pour remédier à cette différence, dans la version précédente d'OpenSSH, une nouvelle extension SFTP a été proposée dans l'implémentation du serveur SFTP pour exposer les chemins ~/ et ~ utilisateur/.
Enfin si vous souhaitez en savoir plus à propos de cette nouvelle version, vous pouvez vérifier les détails en allant sur le lien suivant.
Comment installer OpenSSH 8.8 sur Linux?
Pour ceux qui souhaitent pouvoir installer cette nouvelle version d'OpenSSH sur leurs systèmes, pour l'instant ils peuvent le faire télécharger le code source de ceci et effectuer la compilation sur leurs ordinateurs.
En effet, la nouvelle version n'a pas encore été incluse dans les référentiels des principales distributions Linux. Pour obtenir le code source, vous pouvez le faire à partir du lien ci-dessous.
Terminé le téléchargement, maintenant, nous allons décompresser le package avec la commande suivante:
tar -xvf openssh-8.8.tar.gz
Nous entrons dans le répertoire créé:
cd openssh-8.8
Y nous pouvons compiler avec les commandes suivantes:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install