OpenSSH 8.0 esta disponible para probar y detectar errores antes de ser liberada

openssh

Recientemente los desarrolladores de OpenSSH acaban de anunciar que la versión 8.0 de esta herramienta de seguridad para la conexión remota con el protocolo SSH está casi lista para ser publicada.

Damien Miller, uno de los principales desarrolladores del proyecto, acaba de llamar a la comunidad de usuarios de esta herramienta para que puedan probarla dado que, con suficientes ojos, todos los errores pueden ser detectados a tiempo.

Las personas que decidan utilizarán esta nueva versión podrán no solo ayudar a probar el rendimiento y la detección de errores sin no que también podrán descubrir nuevas mejoras de varios pedidos.

En el nivel de seguridad, por ejemplo, se han introducido medidas de mitigación para las debilidades del protocolo scp en esta nueva versión de OpenSSH.

En la práctica, copiar archivos con scp será más seguro en OpenSSH 8.0 porque copiar archivos de un directorio remoto a un directorio local hará que scp compruebe si los archivos enviados por el servidor coinciden con la solicitud emitida.

Si este mecanismo no se implementara, un servidor de ataque podría en teoría, interceptar la solicitud mediante la entrega de archivos maliciosos en lugar de los solicitados originalmente.

Sin embargo, a pesar de estas medidas de mitigación, OpenSSH no recomienda el uso del protocolo scp, Porque es “obsoleto, inflexible y difícil de resolver”.

 “Recomendamos el uso de protocolos más modernos como sftp y rsync para la transferencia de archivos”, advirtió Miller.

¿Qué ofrecerá esta nueva version de OpenSSH?

En el paquete “Novedades” de esta nueva versión incluye una serie de cambios que pueden afectar las configuraciones existentes.

Por ejemplo, en el ya mencionado nivel del protocolo scp, dado que este protocolo se basa en un shell remoto, no hay una manera segura de que los archivos transferidos del cliente coincida con la del servidor.

Si hay una diferencia entre el cliente genérico y la extensión del servidor, el cliente puede rechazar los archivos del servidor.

Por este motivo, el equipo de OpenSSH ha proporcionado a scp un nuevo indicador “-T” que desactiva las verificaciones del lado del cliente para reintroducir el ataque descrito anteriormente.

En el nivel del demond sshd: el equipo de OpenSSH eliminó el soporte para la sintaxis “host / port” en desuso.

Se agregó un host / port separado por barras en 2001 en lugar de la sintaxis “host: port” para los usuarios de IPv6.

Hoy en día, la sintaxis de la barra se confunde fácilmente con la notación CIDR, que también es compatible con OpenSSH.

Otras novedades

Por lo tanto, es aconsejable eliminar la notación de barra diagonal de ListenAddress y PermitOpen. Además de estos cambios, tenemos nuevas características agregadas a OpenSSH 8.0. Estos incluyen:

Un método experimental de intercambio de claves para computadoras cuánticas que ha aparecido en esta versión.

El propósito de esta función es resolver los problemas de seguridad que pueden surgir al distribuir claves entre partes, dadas las amenazas a los avances tecnológicos, como el aumento del poder de cómputo de las máquinas, nuevos algoritmos para las computadoras cuánticas.

Para hacer esto, este método se basa en la solución de distribución de clave cuántica (abreviada QKD en inglés).

Esta solución utiliza propiedades cuánticas para intercambiar información secreta, como una clave criptográfica.

En principio, medir un sistema cuántico altera el sistema. Además, si un pirata informático intentara interceptar una clave criptográfica emitida a través de una implementación de QKD, inevitablemente dejaría huellas detectables para OepnSSH.

Por otro lado, el tamaño predeterminado de la clave RSA que se ha actualizado a 3072 bits.

De las demás novedades informadas están las siguientes:

  • Adición de soporte para claves ECDSA en tokens PKCS
  • el permiso de “PKCS11Provide = none” para reemplazar instancias posteriores de la directiva PKCS11Provide en ssh_config.
  • Se agregar un mensaje de registro para situaciones en las que una conexión se interrumpe después de intentar ejecutar un comando mientras está vigente una restricción sshd_config ForceCommand = internal-sftp.

Para obtener más detalles, una lista completa de otras adiciones y correcciones de errores está disponible en la página oficial.

Para probar esta nueva versión puedes dirigirte al siguiente enlace. 


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.