Il lancio di la nuova versione di OpenSSH 8.6, un'implementazione aperta di un client e un server per lavorare con i protocolli SSH 2.0 e SFTP.
Per coloro che non sono a conoscenza di OpenSSH (Open Secure Shell) dovrebbe saperlo questo è un insieme di applicazioni che consentono comunicazioni crittografate su una rete, utilizzando il protocollo SSH. È stato creato come alternativa gratuita e aperta al programma Secure Shell, che è un software proprietario.
La suite OpenSSH include le seguenti utilità e demoni della riga di comando:
- scp: che è un sostituto di rcp.
- sftp - Un sostituto di ftp per la copia di file tra computer.
- ssh - Un sostituto di rlogin, rsh e telnet per consentire l'accesso della shell a una macchina remota.
- ssh-add e ssh-agent: un insieme di utilità per facilitare l'autenticazione mantenendo le chiavi pronte ed evitando la necessità di inserire passphrase ogni volta che vengono utilizzate.
- ssh-keygen - Uno strumento per l'ispezione e la generazione di chiavi RSA, DSA e curve ellittiche utilizzate per l'autenticazione dell'utente e dell'host.
- ssh-keyscan: che analizza un elenco di host e raccoglie le loro chiavi pubbliche.
- sshd: il demone del server SSH.
Principali novità di OpenSSH 8.6
La nuova versione risolve una vulnerabilità nell'implementazione della direttiva LogVerbose, che è apparso nell'ultima versione e consente di aumentare il livello di informazioni di debug scaricate nel registro, inclusa la possibilità di filtrare per modelli, funzioni e file associati al codice eseguito. con privilegi rimossi nel processo sshd isolato in ambiente sandbox.
Un attaccante che ottiene il controllo da un processo senza privilegi con qualche vulnerabilità sconosciuta puoi sfruttare il problema di LogVerbose per evitare di isolare l'area di prova e di attaccare un processo sopraelevato.
La vulnerabilità in LogVerbose è considerata improbabile nella praticapoiché l'impostazione LogVerbose è disabilitata per impostazione predefinita e di solito viene utilizzata solo durante il debug. L'attacco richiede anche di trovare una nuova vulnerabilità in un processo senza privilegi.
D'altra parte, le modifiche apportate in OpenSSH 8.6 non erano correlate alla vulnerabilità. Possiamo trovarlo è stata implementata una nuova estensione di protocollo "limits@openssh.com" su sftp e sftp-server, che consente al client SFTP di ottenere informazioni sulle restrizioni del server, inclusa la dimensione massima del pacchetto e i limiti di lettura / scrittura.
In sftp, viene utilizzata una nuova estensione per selezionare la dimensione ottimale del blocco per il trasferimento dei datiInoltre, la configurazione ModuliFile è stata aggiunta a sshd_config per sshd, consentendo di specificare il percorso del file "moduli" contenente i gruppi per DH-GEX.
La variabile d'ambiente TEST_SSH_ELAPSED_TIMES è stata aggiunta agli unit test per consentire la visualizzazione del tempo trascorso dall'inizio di ogni test.
Il prompt della password di GNOME è stato suddiviso in due opzionis, uno per GNOME2 e uno per GNOME3 (contrib / gnome-ssk-askpass3.c). La variante GNOME3 utilizza gdk_seat_grab () per controllare l'acquisizione di tastiera e mouse per migliorare la compatibilità con Wayland.
E anche aggiunto soft-disallow alla chiamata di sistema fstatat64 alla sandbox Linux basata su seccomp-bpf.
Infine, se sei interessato a saperne di più su questa nuova versione, puoi consultare i dettagli andando al seguente collegamento.
Come installare OpenSSH 8.6 su Linux?
Per coloro che sono interessati a poter installare questa nuova versione di OpenSSH sui propri sistemi, per ora possono farlo scaricando il codice sorgente di questo e eseguire la compilazione sui propri computer.
Questo perché la nuova versione non è stata ancora inclusa nei repository delle principali distribuzioni Linux. Per ottenere il codice sorgente, puoi farlo dal seguente link.
Fatto il download, ora decomprimeremo il pacchetto con il seguente comando:
tar -xvf openssh-8.6.tar.gz
Entriamo nella directory creata:
cd openssh-8.6
Y possiamo compilare con i seguenti comandi:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install