Selepas enam bulan pembangunan Keluaran OpenSSH 8.9 diumumkan, di mana betulkan kelemahan dalam sshd yang berpotensi membenarkan akses tanpa pengesahan. Masalahnya disebabkan oleh limpahan integer dalam kod pengesahan, tetapi eksploitasi hanya mungkin dalam kombinasi dengan ralat logik lain dalam kod.
Dalam bentuknya sekarang, kelemahan tidak boleh dieksploitasi apabila pembahagian keistimewaan didayakan, memandangkan manifestasinya disekat oleh semakan berasingan yang dilakukan pada kod penjejakan pembahagian-keistimewaan.
Mod keistimewaan dikongsi telah didayakan secara lalai pada tahun 2002 pada OpenSSH 3.2.2 dan telah diperlukan sejak keluaran OpenSSH 2017 pada 7.5. Selain itu, dalam versi mudah alih OpenSSH sejak versi 6.5 (2014), kerentanan disekat dengan menyusun dengan kemasukan bendera untuk melindungi daripada limpahan integer.
Ciri baru utama OpenSSH 8.9
Dalam versi baharu yang dibentangkan ini kita dapati bahawa lVersi mudah alih OpenSSH mengalih keluar sokongan sshd terbina dalam untuk pencincangan kata laluan menggunakan algoritma MD5 (memaut semula ke perpustakaan luaran seperti libxcrypt dibenarkan)
ssh, sshd, ssh-add dan ssh-agent melaksanakan subsistem untuk menyekat pemajuan dan penggunaan kunci yang ditambahkan pada ssh-agent.
Subsistem membolehkan anda menetapkan peraturan yang menentukan cara dan tempat kunci boleh digunakan dalam ssh-agent. Contohnya, untuk menambah kunci yang hanya boleh digunakan untuk mengesahkan apabila mana-mana pengguna menyambung ke hos scylla.example.org, pengguna perseus menyambung ke hos cetus.example.org dan pengguna medea menyambung ke hos charybdis.example .org hos, mengubah hala melalui hos perantaraan scylla.example.org.
En ssh dan sshd, senarai KexAlgorithm, yang menentukan susunan kaedah pertukaran utama dipilih, telah menambah secara lalai algoritma hibrid "sntrup761x25519-sha512@openssh.com» (ECDH/x25519 + NTRU Prime), yang tahan terhadap pemilihan dalam komputer kuantum. Dalam OpenSSH 8.9, kaedah rundingan ini telah ditambah antara kaedah ECDH dan DH, tetapi ia dirancang untuk didayakan secara lalai dalam versi seterusnya.
ssh-keygen, ssh dan ssh-agent telah meningkatkan pengendalian kunci token FIDO digunakan untuk pengesahan peranti, termasuk kunci untuk pengesahan biometrik.
Perubahan lain yang menonjol dalam versi baru ini:
- Menambahkan arahan "ssh-keygen -Y match-principals" ke ssh-keygen untuk menyemak nama pengguna dalam fail dengan senarai nama yang dibenarkan.
- ssh-add dan ssh-agent menyediakan keupayaan untuk menambah kunci FIDO yang dilindungi PIN ke ssh-agent (gesaan PIN dipaparkan pada masa pengesahan).
- ssh-keygen membolehkan anda memilih algoritma hash (sha512 atau sha256) semasa menandatangani.
Untuk meningkatkan prestasi, ssh dan sshd membaca data rangkaian terus ke dalam penimbal paket masuk, memintas penimbal perantaraan dalam timbunan. Peletakan terus data yang diterima dalam penimbal saluran dilaksanakan dengan cara yang sama. - Dalam ssh, arahan PubkeyAuthentication telah memanjangkan senarai parameter yang disokong (ya|tidak|tidak terikat|terikat hos) untuk memberikan keupayaan untuk memilih sambungan protokol yang hendak digunakan.
Dalam versi akan datang, ia dirancang untuk menukar utiliti scp lalai untuk menggunakan SFTP bukannya protokol SCP/RCP warisan. SFTP menggunakan kaedah pengendalian nama yang lebih boleh diramal dan tidak menggunakan pemprosesan cangkerang corak glob pada nama fail di sisi lain hos, yang mewujudkan isu keselamatan.
Khususnya, apabila menggunakan SCP dan RCP, pelayan memutuskan fail dan direktori mana yang hendak dihantar kepada pelanggan, dan pelanggan hanya menyemak ketepatan nama objek yang dikembalikan, yang, jika tiada pemeriksaan yang betul oleh pelanggan, membenarkan bahawa pelayan untuk memindahkan nama fail lain yang berbeza daripada yang diminta. Protokol SFTP tidak mempunyai masalah ini, tetapi ia tidak menyokong pengembangan laluan khas seperti "~/
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya mengenai versi baru ini, anda boleh menyemak perinciannya dengan pergi ke pautan berikut.
Bagaimana cara memasang OpenSSH 8.9 di Linux?
Bagi mereka yang berminat untuk memasang OpenSSH versi baru ini pada sistem mereka, buat masa ini mereka dapat melakukannya memuat turun kod sumber ini dan melakukan penyusunan di komputer mereka.
Ini kerana versi baru belum dimasukkan ke dalam repositori distribusi Linux utama. Untuk mendapatkan kod sumber, anda boleh melakukannya dari pautan seterusnya.
Selesai memuat turun, sekarang kita akan membuka zip pakej dengan arahan berikut:
tar -xvf openssh-8.9.tar.gz
Kami memasukkan direktori yang dibuat:
cd openssh-8.9
Y kita dapat menyusun dengan arahan berikut:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install