OpenSSH 9.6 arriva correggendo tre problemi di sicurezza, implementa miglioramenti e altro ancora

Darkcrizt

4 minuti

OpenSSH

OpenSSH è un insieme di applicazioni che consentono comunicazioni crittografate su una rete, utilizzando il protocollo SSH.

È stato annunciato il rilascio della nuova versione di OpenSSH 9.6 e questa versione include diverse correzioni di bug e include anche alcune nuove funzionalità, diversi miglioramenti delle prestazioni e altro ancora.

Per coloro che non sono a conoscenza di OpenSSH (Open Secure Shell) dovrebbe saperlo questo è un insieme di applicazioni che consentono comunicazioni crittografate su una rete, utilizzando il protocollo SSH. È stato creato come alternativa gratuita e aperta al programma Secure Shell, che è un software proprietario.

Principali novità di OpenSSH 9.6

In questa nuova versione di OpenSSH 9.6, il ProxyJump semplificato risalta, poiché la sostituzione "%j" è stata aggiunta a ssh, espandendosi al nome host specificato, oltre al rilevamento migliorato di flag del compilatore instabili o non supportati, come "-fzero-call-used-regs» nel clangore.

Un altro cambiamento che presenta la nuova versione è quello Il supporto per la configurazione di ChannelTimeout è stato aggiunto a ssh sul lato client, che può essere utilizzato per terminare i canali inattivi.

Inoltre, in OpenSSH 9.6 Introdotto il controllo granulare degli algoritmi di firma, poiché è stata aggiunta un'estensione del protocollo a ssh e sshd per rinegoziare gli algoritmi di firma digitale per l'autenticazione con chiave pubblica dopo aver ricevuto il nome utente. Ad esempio, quando utilizzi l'estensione, puoi utilizzare selettivamente altri algoritmi in relazione agli utenti specificati.

Si evidenzia inoltre che aggiunta un'estensione di protocollo a ssh-add e ssh-agent per configurare i certificati durante il caricamento delle chiavi PKCS#11, lo che consente l'utilizzo dei certificati associati alle chiavi private PKCS#11 in tutte le utility OpenSSH che supportano ssh-agent, non solo ssh.

Per quanto riguarda le correzioni di bug, si dice che sono incluse le seguenti correzioni:

  1. Soluzione al vulnerabilità nel protocollo SSH (CVE-2023-48795, attacco Terrapin), che consente a un attacco MITM di ripristinare la connessione per utilizzare algoritmi di autenticazione meno sicuri e disabilitare la protezione contro gli attacchi del canale laterale che ricreano l'input analizzando i ritardi tra la pressione dei tasti sulla tastiera. Il metodo di attacco è descritto in un articolo di notizie separato.
  2. Soluzione al vulnerabilità nell'utilità ssh che consente la sostituzione di comandi shell arbitrari manipolando valori di login e host che contengono caratteri speciali. La vulnerabilità può essere sfruttata se un utente malintenzionato controlla i valori di login e nome host passati a ssh, le direttive ProxyCommand e LocalCommand o i blocchi "match exec" che contengono caratteri jolly come %u e %h. Ad esempio, login e host errati possono essere sovrascritti sui sistemi che utilizzano sottomoduli in Git, poiché Git non proibisce di specificare caratteri speciali nei nomi host e nei nomi utente. Una vulnerabilità simile appare anche in libssh.
  3. Soluzione a errore in ssh-agent dove, quando si aggiungono le chiavi private PKCS#11, le restrizioni venivano applicate solo alla prima chiave restituita dal token PKCS#11. Il problema non riguarda le normali chiavi private, i token FIDO o le chiavi senza restrizioni.

Del altri cambiamenti che risaltano di questa nuova versione:

  • Algoritmi PubkeyAccepted nel blocco "Abbina utente".
  • Per limitare i privilegi del processo sshd, le versioni di OpenSolaris che supportano l'interfaccia getpflags() utilizzano l'interfaccia PRIV_XPOLICY invece di PRIV_LIMIT.
  • Aggiunto il supporto per la lettura delle chiavi private ED25519 nel formato PEM PKCS8 per ssh, sshd, ssh-add e ssh-keygen (in precedenza era supportato solo il formato OpenSSH).

Infine se sei interessato a saperne di più su questa nuova versione, puoi controllare i dettagli andando al seguente collegamento.

Come installare OpenSSH 9.6 su Linux?

Per coloro che sono interessati a poter installare questa nuova versione di OpenSSH sui propri sistemi, per ora possono farlo scaricando il codice sorgente di questo e eseguire la compilazione sui propri computer.

Questo perché la nuova versione non è stata ancora inclusa nei repository delle principali distribuzioni Linux. Per ottenere il codice sorgente, puoi farlo dal seguente link.

Fatto il download, ora decomprimeremo il pacchetto con il seguente comando:

tar -xvf openssh-9.6.tar.gz

Entriamo nella directory creata:

cd openssh-9.6

Y possiamo compilare con i seguenti comandi:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.