Versi baru dari OpenSSH 8.8 telah dirilis dan versi baru ini menonjol karena menonaktifkan secara default kemampuan untuk menggunakan tanda tangan digital berdasarkan kunci RSA dengan hash SHA-1 ("ssh-rsa").
Akhir dukungan untuk tanda tangan "ssh-rsa" adalah karena peningkatan efektivitas serangan tabrakan dengan awalan yang diberikan (biaya menebak tabrakan diperkirakan sekitar 50 ribu dolar). Untuk menguji penggunaan ssh-rsa pada suatu sistem, Anda dapat mencoba menghubungkan melalui ssh dengan opsi "-oHostKeyAlgorithms = -ssh-rsa".
Selain itu, dukungan untuk tanda tangan RSA dengan hash SHA-256 dan SHA-512 (rsa-sha2-256 / 512), yang didukung sejak OpenSSH 7.2, tidak berubah. Dalam kebanyakan kasus, mengakhiri dukungan untuk "ssh-rsa" tidak memerlukan tindakan manual. oleh pengguna, karena pengaturan UpdateHostKeys sebelumnya diaktifkan secara default di OpenSSH, yang secara otomatis menerjemahkan klien ke algoritme yang lebih andal.
Versi ini menonaktifkan tanda tangan RSA menggunakan algoritma hashing SHA-1 bawaan. Perubahan ini telah dilakukan sejak algoritma hash SHA-1 adalah rusak secara kriptografis, dan dimungkinkan untuk membuat awalan yang dipilih tabrakan hash oleh
Bagi sebagian besar pengguna, perubahan ini seharusnya tidak terlihat dan ada tidak perlu mengganti kunci ssh-rsa. OpenSSH sesuai dengan RFC8332 Tanda tangan RSA / SHA-256/512 dari versi 7.2 dan kunci ssh-rsa yang ada itu akan secara otomatis menggunakan algoritma terkuat bila memungkinkan.
Untuk migrasi, ekstensi protokol "hostkeys@openssh.com" digunakan«, Yang memungkinkan server, setelah melewati otentikasi, untuk memberi tahu klien tentang semua kunci host yang tersedia. Saat menghubungkan ke host dengan versi OpenSSH yang sangat lama di sisi klien, Anda dapat secara selektif membalikkan kemampuan untuk menggunakan tanda tangan "ssh-rsa" dengan menambahkan ~ / .ssh / config
Versi baru juga memperbaiki masalah keamanan yang disebabkan oleh sshd, sejak OpenSSH 6.2, salah menginisialisasi grup pengguna saat menjalankan perintah yang ditentukan dalam perintah AuthorizedKeysCommand dan AuthorizedPrincipalsCommand.
Arahan ini harus memastikan bahwa perintah dijalankan di bawah pengguna yang berbeda, tetapi sebenarnya mereka mewarisi daftar grup yang digunakan saat memulai sshd. Berpotensi, perilaku ini, mengingat konfigurasi sistem tertentu, memungkinkan pengontrol yang berjalan untuk mendapatkan hak istimewa tambahan pada sistem.
Catatan rilis mereka juga menyertakan peringatan tentang niat untuk mengubah utilitas scp default untuk menggunakan SFTP alih-alih protokol SCP / RCP lama. SFTP memberlakukan nama metode yang lebih dapat diprediksi, dan pola non-pemrosesan global digunakan dalam nama file melalui shell di sisi host lain, menciptakan masalah keamanan.
Secara khusus, saat menggunakan SCP dan RCP, server memutuskan file dan direktori mana yang akan dikirim ke klien, dan klien hanya memeriksa kebenaran nama objek yang dikembalikan, yang, jika tidak ada pemeriksaan yang tepat di sisi klien, memungkinkan server untuk mengirimkan nama file lain yang berbeda dari yang diminta.
SFTP tidak memiliki masalah ini, tetapi tidak mendukung perluasan rute khusus seperti "~ /". Untuk mengatasi perbedaan ini, dalam versi OpenSSH sebelumnya, ekstensi SFTP baru diusulkan dalam implementasi server SFTP untuk mengekspos ~ / dan ~ pengguna / jalur.
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentang itu tentang versi baru ini, Anda dapat memeriksa detailnya dengan membuka tautan berikut.
Bagaimana cara menginstal OpenSSH 8.8 di Linux?
Bagi mereka yang tertarik untuk dapat menginstal OpenSSH versi baru ini di sistem mereka, untuk saat ini mereka bisa melakukannya mengunduh kode sumber ini dan melakukan kompilasi di komputer mereka.
Ini karena versi baru belum dimasukkan ke dalam repositori distribusi Linux utama. Untuk mendapatkan source code tersebut, Anda dapat melakukannya dari link berikut.
Selesai mengunduh, sekarang kita akan mengekstrak paket dengan perintah berikut:
tar -xvf openssh-8.8.tar.gz
Kami memasuki direktori yang dibuat:
cd openssh-8.8
Y kita dapat mengkompilasi dengan perintah berikut:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install