OpenSSH 8.3이 출시되었습니다.

Darkcrizt

4 분

XNUMX 개월의 개발 끝에 OpenSSH 8.3의 새 버전 출시가 발표되었습니다. 어느 scp 공격에 대한 새로운 추가 보호 기능 강조, 뭐 서버가 요청 된 것과 다른 다른 파일 이름을 전송할 수 있습니다. (이전 취약점과 달리 공격은 사용자가 선택한 디렉토리 나 글로벌 마스크를 변경할 수 없습니다.)

SCP에서 서버는 클라이언트에 보낼 파일과 디렉토리를 결정하고 클라이언트는 정확성 만 확인합니다. 반환 된 개체 이름의 식별 된 문제의 핵심은 타이밍 시스템에 대한 호출이 실패하면 파일의 내용이 파일 메타 데이터로 해석된다는 것입니다.

공격자가 제어하는 ​​서버에 접속할 때이 기능을 사용하여 다른 이름을 저장할 수 있습니다. 타이밍 실패를 일으키는 설정에서 scp를 사용하여 복사 할 때 사용자 FS의 파일 및 기타 콘텐츠. 예를 들어 SELinux 정책 또는 시스템 호출 필터에 의해 시간이 비활성화 된 경우입니다.

일반적인 구성에서는 시간 호출이 실패하지 않기 때문에 실제 공격의 확률은 최소로 추정됩니다. 또한 공격은 눈에 띄지 않습니다. scp가 호출되면 데이터 전송 오류가 표시됩니다.

SHA-1에 작별 인사

또한 OpenSSH 개발자도 구식 알고리즘 범주로의 곧 이전에 대해 다시 한 번 경고 SHA-1 해싱을 사용하는 것은 주어진 접두사 (충돌 선택 비용은 약 $ 45로 추정 됨)를 사용하는 충돌 공격의 효율성 증가로 인해 발생합니다.

다음 문제 중 하나에서, 그들은 비활성화 할 계획입니다 기본적으로 SSH 프로토콜에 대한 원래 RFC에 언급 된 ssh-rsa 공개 키 디지털 서명 알고리즘을 사용하는 기능은 실제로 널리 사용되고 있습니다.

가능한 후보

다음 릴리스에서 OpenSSH의 새 알고리즘으로 쉽게 전환하기 위해 UpdateHostKeys 설정은 기본적으로 활성화됩니다. 클라이언트를보다 안정적인 알고리즘으로 자동 전환합니다.

마이그레이션에 권장되는 알고리즘 중 RFC2 RSA SHA-256 기반 rsa-sha512-8332 / 2 (OpenSSH 7.2와 호환되며 기본적으로 사용됨), ssh-ed25519 (OpenSSH 6.5와 호환 가능) 및 RFC2 기반 ecdsa-sha256-nistp384 / 521 / 5656 ECDSA (OpenSSH 5.7 준수).

기타 변경 사항

지난 호에서 "ssh-rsa"및 "diffie-hellman-group14-sha1»CASignatureAlgorithms 목록에서 제거되었습니다., 인증서에서 SHA-1을 사용하면 공격자가 기존 인증서에 대한 충돌을 검색 할 시간이 제한되어 있고 호스트 키의 공격 시간이 연결 시간 초과 (LoginGraceTime).

다른 변경 사항 중 이 새 버전에서 눈에 띄는 것은 다음과 같습니다.

  • sftp에서 "-1"처리는 이전에 허용되었지만 무시 된 ssh 및 scp와 유사하게 중지됩니다.
  • sshd에서 IgnoreRhosts를 사용할 때 이제 세 가지 옵션이 제공됩니다. rhosts / shosts를 무시하려면 "yes", rhosts / shosts를 고려하는 "no", ".shosts"를 허용하지만 ".rhosts"를 비활성화하는 "shosts-only" .
  • ssh에서 % TOKEN 재정의 처리는 Unix 소켓을 리디렉션하는 데 사용되는 LocalFoward 및 RemoteForward 구성에서 제공됩니다.
  • 공개 키가있는 별도의 파일이없는 경우 개인 키로 암호화되지 않은 파일에서 공개 키를 다운로드 할 수 있습니다.
  • 시스템에 ssh 및 sshd에 libcrypto가있는 경우 성능이 낮은 내장 된 이식 가능 구현 대신이 라이브러리의 chacha20 알고리즘 구현을 사용합니다.
  • "ssh-keygen -lQf / path"명령을 실행할 때 취소 된 인증서의 이진 목록 내용을 덤프하는 기능이 구현되었습니다.
  • 휴대용 버전은 SA_RESTART 옵션이있는 신호가 선택을 중단하는 시스템 정의를 구현합니다.
  • HP / UX 및 AIX 시스템에서 수정 된 컴파일 문제.
  • 일부 Linux 구성에서 seccomp 샌드 박스의 컴파일 문제를 수정했습니다.
  • libfido2 라이브러리의 정의가 개선되었으며 –with-security-key-builtin 옵션을 사용하여 컴파일 문제가 해결되었습니다.

Linux에 OpenSSH 8.3를 설치하는 방법은 무엇입니까?

이 새 버전의 OpenSSH를 시스템에 설치하는 데 관심이있는 사용자를 위해 지금 그들은 그것을 할 수 있습니다 이것의 소스 코드를 다운로드하고 컴퓨터에서 컴파일을 수행합니다.

이는 새 버전이 아직 주요 Linux 배포판의 저장소에 포함되지 않았기 때문입니다. 소스 코드를 얻으려면 다음에서 할 수 있습니다. 다음 링크를.

다운로드 완료, 이제 다음 명령을 사용하여 패키지의 압축을 풉니 다.

tar -xvf openssh-8.3.tar.gz

생성 된 디렉토리를 입력합니다.

cd openssh-8.3

Y 우리는 다음 명령 :

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   찌위
    4 년

    정보에 대해서 감사드립니다 :)

    Chiwy에게 답장