De nieuwe versie van OpenSSH 8.8 is al vrijgegeven en deze nieuwe versie onderscheidt zich door het standaard uitschakelen van de mogelijkheid om digitale handtekeningen te gebruiken gebaseerd op RSA-sleutels met een SHA-1-hash ("ssh-rsa").
Einde van ondersteuning voor "ssh-rsa" handtekeningen is te wijten aan een toename van de effectiviteit van botsingsaanvallen met een bepaald voorvoegsel (de kosten van het raden van de botsing worden geschat op ongeveer 50 duizend dollar). Om het gebruik van ssh-rsa op een systeem te testen, kunt u proberen verbinding te maken via ssh met de optie "-oHostKeyAlgorithms = -ssh-rsa".
Bovendien is de ondersteuning voor RSA-handtekeningen met SHA-256 en SHA-512 (rsa-sha2-256 / 512) hashes, die worden ondersteund sinds OpenSSH 7.2, niet gewijzigd. In de meeste gevallen vereist het beëindigen van de ondersteuning voor "ssh-rsa" geen handmatige actie. door gebruikers, omdat de UpdateHostKeys-instelling eerder standaard was ingeschakeld in OpenSSH, dat clients automatisch vertaalt naar betrouwbaardere algoritmen.
Deze versie schakelt RSA-handtekeningen uit met behulp van het SHA-1 hash-algoritme standaard. Deze wijziging is aangebracht sinds het SHA-1 hash-algoritme is cryptografisch gebroken, en het is mogelijk om het gekozen voorvoegsel te maken hash-botsingen door
Voor de meeste gebruikers zou deze wijziging onzichtbaar moeten zijn en er is het is niet nodig om ssh-rsa-sleutels te vervangen. OpenSSH voldoet aan RFC8332 RSA / SHA-256/512 handtekeningen van versie 7.2 en bestaande ssh-rsa-sleutels het zal waar mogelijk automatisch het sterkste algoritme gebruiken.
Voor migratie wordt de protocolextensie "hostkeys@openssh.com" gebruikt«, waarmee de server, na het passeren van de authenticatie, de client kan informeren over alle beschikbare hostsleutels. Wanneer u verbinding maakt met hosts met zeer oude versies van OpenSSH aan de clientzijde, kunt u selectief de mogelijkheid om "ssh-rsa"-handtekeningen te gebruiken omkeren door ~ / .ssh / config toe te voegen
De nieuwe versie lost ook een beveiligingsprobleem op dat wordt veroorzaakt door sshd, sinds OpenSSH 6.2, het onjuist initialiseren van de gebruikersgroep bij het uitvoeren van opdrachten die zijn gespecificeerd in de AuthorizedKeysCommand- en AuthorizedPrincipalsCommand-richtlijnen.
Deze instructies zouden ervoor moeten zorgen dat de commando's onder een andere gebruiker worden uitgevoerd, maar in feite hebben ze de lijst met groepen geërfd die werden gebruikt bij het starten van sshd. Mogelijk heeft dit gedrag, gegeven bepaalde systeemconfiguraties, de actieve controller in staat gesteld om extra privileges op het systeem te verkrijgen.
De release-opmerkingen ze bevatten ook een waarschuwing over het voornemen om het scp-hulpprogramma te wijzigen standaard om SFTP te gebruiken in plaats van het oude SCP / RCP-protocol. SFTP dwingt meer voorspelbare methodenamen af en globale niet-verwerkingspatronen worden gebruikt in bestandsnamen via de shell aan de andere kant van de host, wat veiligheidsproblemen veroorzaakt.
Met name bij het gebruik van SCP en RCP beslist de server welke bestanden en mappen naar de client moeten worden verzonden, en controleert de client alleen de juistheid van de geretourneerde objectnamen, wat, bij gebrek aan goede controles aan de clientzijde, de server om andere bestandsnamen te verzenden die afwijken van de gevraagde.
SFTP heeft deze problemen niet, maar ondersteunt de uitbreiding van speciale routes zoals "~ /" niet. Om dit verschil aan te pakken, werd in de vorige versie van OpenSSH een nieuwe SFTP-extensie voorgesteld in de SFTP-serverimplementatie om de ~ / en ~ gebruiker / paden bloot te leggen.
Eindelijk als u er meer over wilt weten over deze nieuwe versie kunt u de details bekijken door naar de volgende link te gaan.
Hoe installeer ik OpenSSH 8.8 op Linux?
Voor degenen die geïnteresseerd zijn om deze nieuwe versie van OpenSSH op hun systemen te kunnen installeren, voor nu kunnen ze het doen het downloaden van de broncode van deze en het uitvoeren van de compilatie op hun computers.
Dit komt doordat de nieuwe versie nog niet is opgenomen in de repositories van de belangrijkste Linux-distributies. Om de broncode te krijgen, kunt u doen vanuit de volgende koppeling.
Klaar met downloaden, nu gaan we het pakket uitpakken met het volgende commando:
tar -xvf openssh-8.8.tar.gz
We gaan de aangemaakte directory binnen:
cd openssh-8.8
Y waarmee we kunnen compileren de volgende commando's:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install