OpenSSH 8.3 je ovdje i ovo su njegove vijesti

Darkcrizt

4 minuta

Nakon tri mjeseca razvoja, predstavljeno je izdanje nove verzije OpenSSH 8.3, u kojem ističe novu dodatnu zaštitu od scp napada, što omogućuje poslužitelju da prenese druga imena datoteka koja se razlikuju od traženih (Za razliku od prethodne ranjivosti, napad ne dopušta promjenu direktorija koji je odabrao korisnik ili globalne maske).

U SCP-u, poslužitelj odlučuje koje će datoteke i direktorije poslati klijentu, a klijent samo provjerava točnost vraćenih imena objekata. Bit identificiranog problema je da se, ako poziv sustavu za mjerenje vremena zakaže, sadržaj datoteke tumači kao metapodaci datoteke.

Kada se spajate na poslužitelj kojim upravlja napadač, ova se funkcija može koristiti za spremanje drugih imena Datoteka i drugi sadržaj u korisničkom FS-u prilikom kopiranja pomoću scp-a u postavkama koje uzrokuju neuspjeh u određivanju vremena. Na primjer, kada su vremena onemogućena SELinux pravilima ili filtrom sistemskih poziva.

Procjenjuje se da je vjerojatnost stvarnih napada minimalna, jer u tipičnim konfiguracijama vremenski poziv ne zakaže. Također, napad ne prolazi nezapaženo: kada se pozove scp, prikazuje se pogreška prijenosa podataka.

Zbogom SHA-1

Uz to, programeri OpenSSH-a također još jednom upozorio na predstojeći prelazak u kategoriju zastarjelih algoritama koji koriste raspršivanje SHA-1, zbog povećanja učinkovitosti napada sudara s danim prefiksom (cijena odabira sudara procjenjuje se na oko 45 USD).

U jednom od sljedećih problema, planiraju onemogućiti prema zadanim postavkama mogućnost upotrebe algoritma digitalnog potpisa ssh-rsa javnog ključa, koji se spominje u izvornom RFC-u za SSH protokol i ostaje široko raširen u praksi.

Mogući kandidati

Da biste olakšali prijelaz na nove algoritme u OpenSSH-u u nadolazećem izdanju, postavka UpdateHostKeys bit će omogućena prema zadanim postavkama, koji će automatski prebaciti klijente na pouzdanije algoritme.

Među preporučenim algoritmima za migraciju To su: rsa-sha2-256 / 512 na temelju RFC8332 RSA SHA-2 (kompatibilan s OpenSSH 7.2 i koristi se prema zadanim postavkama), ssh-ed25519 (kompatibilan s OpenSSH 6.5) i ecdsa-sha2-nistp256 / 384/521 na temelju RFC5656 ECDSA (u skladu s OpenSSH 5.7).

Ostale promjene

Od posljednjeg broja, "ssh-rsa" i "diffie-hellman-group14-sha1»Uklonjeni su s popisa CASignatureAlgorithms, koji definira važeće algoritme za digitalno potpisivanje novih certifikata, jer upotreba SHA-1 u certifikatima nosi dodatni rizik jer napadač ima neograničeno vrijeme za traženje sudara za postojeći certifikat, dok je vrijeme napada u ključevima domaćina ograničeno vremensko ograničenje veze (LoginGraceTime).

Od ostalih promjena koji se ističu u ovoj novoj verziji su:

  • U sftp-u se zaustavlja obrada "-1", slično ssh i scp, koja je prethodno prihvaćena, ali zanemarena.
  • U sshd-u pri korištenju IgnoreRhosts sada su na raspolaganju tri mogućnosti: "yes" za ignoriranje rhosts / shosts, "ne" za razmatranje rhosts / shosts i "shosts-only" što znači ".shosts", ali onemogućavanje ".rhosts" .
  • U ssh-u je obrada nadjačavanja% TOKEN predviđena u konfiguraciji LocalFoward i RemoteForward koja se koristi za preusmjeravanje Unix utičnica.
  • Dopušteno je preuzimanje javnih ključeva iz datoteke koja nije šifrirana privatnim ključem, ako ne postoji zasebna datoteka s javnim ključem.
  • Ako sustav ima libcrypto u ssh i sshd, sada koristi implementaciju algoritma chacha20 ove biblioteke, umjesto ugrađene prijenosne implementacije koja ima niže performanse.
  • Provedena je mogućnost izbacivanja sadržaja binarnog popisa opozvanih certifikata prilikom izvršavanja naredbe "ssh-keygen -lQf / path".
  • Prijenosna verzija implementira definicije sustava u kojima signali s opcijom SA_RESTART prekidaju odabir;
  • Problemi s kompilacijom riješeni na HP / UX i AIX sustavima.
  • Ispravljeni problemi s kompilacijom za seccomp pješčanik na nekim Linux konfiguracijama.
  • Poboljšana je definicija biblioteke libfido2, a problemi kompilacije riješeni su opcijom -with-security-key-builtin.

Kako instalirati OpenSSH 8.3 na Linux?

Za one koji su zainteresirani za mogućnost instaliranja ove nove verzije OpenSSH-a na svoje sustave, zasad to mogu učiniti preuzimanje izvornog koda ovog i izvodeći kompilaciju na svojim računalima.

To je zato što nova verzija još nije uključena u spremišta glavnih distribucija Linuxa. Da biste dobili izvorni kod, to možete učiniti s sljedeći link.

Završeno preuzimanje, sada ćemo raspakirati paket slijedećom naredbom:

tar -xvf openssh-8.3.tar.gz

Ulazimo u kreirani direktorij:

cd openssh-8.3

Y možemo sastaviti sa sljedeće naredbe:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   cvrkutav dijo
    zec 4 godina

    Hvala na informaciji :)

    Odgovorite Chiwy