Po sześciu miesiącach rozwoju Ogłoszono wydanie OpenSSH 8.9, w którym napraw lukę w sshd które potencjalnie mogą umożliwić dostęp bez uwierzytelniania. Problem jest spowodowany przepełnieniem liczby całkowitej w kodzie uwierzytelniającym, ale wykorzystanie jest możliwe tylko w połączeniu z innymi błędami logicznymi w kodzie.
W obecnej formie luka nie może zostać wykorzystana, gdy włączony jest podział uprawnień, ponieważ jego manifestacja jest blokowana przez oddzielne kontrole wykonywane na kodzie śledzenia podziału uprawnień.
Tryb uprawnień współdzielonych był domyślnie włączony w 2002 roku w wersji OpenSSH 3.2.2 i jest wymagany od wydania OpenSSH 2017 w 7.5 roku. Dodatkowo w przenośnych wersjach OpenSSH od wersji 6.5 (2014) luka jest blokowana przez kompilację z uwzględnieniem flag chroniących przed przepełnieniami liczb całkowitych.
Główne nowe funkcje OpenSSH 8.9
W tej nowej wersji, która jest prezentowana, możemy stwierdzić, że lPrzenośna wersja OpenSSH usuwa wbudowaną obsługę sshd do haszowania haseł za pomocą algorytmu MD5 (dozwolone jest ponowne łączenie się z zewnętrznymi bibliotekami, takimi jak libxcrypt)
ssh, sshd, ssh-add i ssh-agent implementują podsystem ograniczający przekazywanie i używanie kluczy dodanych do ssh-agent.
Podsystem pozwala ustawić reguły określające jak i gdzie klucze mogą być używane w ssh-agent. Na przykład, aby dodać klucz, który może być używany tylko do uwierzytelniania, gdy dowolny użytkownik łączy się z hostem scylla.example.org, użytkownik perseus łączy się z hostem cetus.example.org, a użytkownik medea łączy się z hostem charybdis.example .org host, przekierowanie przez hosta pośredniczącego scylla.example.org.
En ssh i sshd, lista KexAlgorithms, która określa kolejność wyboru metod wymiany kluczy, dodał domyślnie algorytm hybrydowy „sntrup761x25519-sha512@openssh.com» (ECDH/x25519 + NTRU Prime), który jest odporny na selekcję w komputerach kwantowych. W OpenSSH 8.9 ta metoda negocjacji została dodana między metodami ECDH i DH, ale planuje się, że będzie domyślnie włączona w następnej wersji.
ssh-keygen, ssh i ssh-agent poprawiły obsługę kluczy tokenów FIDO używane do weryfikacji urządzeń, w tym klucze do uwierzytelniania biometrycznego.
Spośród innych zmian, które wyróżniają się w nowej wersji:
- Dodano polecenie "ssh-keygen -Y match-principals" do ssh-keygen, aby sprawdzić nazwy użytkowników w pliku z listą dozwolonych nazw.
- ssh-add i ssh-agent zapewniają możliwość dodawania do ssh-agent kluczy FIDO chronionych kodem PIN (podczas uwierzytelniania wyświetlany jest monit o kod PIN).
- ssh-keygen pozwala wybrać algorytm skrótu (sha512 lub sha256) podczas podpisywania.
Aby poprawić wydajność, ssh i sshd odczytują dane sieciowe bezpośrednio do bufora pakietów przychodzących, z pominięciem bufora pośredniego w stosie. W podobny sposób realizowane jest bezpośrednie umieszczanie odbieranych danych w buforze kanału. - W ssh dyrektywa PubkeyAuthentication rozszerzyła listę obsługiwanych parametrów (tak|nie|unbound|host-bound), aby zapewnić możliwość wyboru rozszerzenia protokołu do użycia.
W przyszłej wersji planowana jest zmiana narzędzia scp domyślnie używa SFTP zamiast starszego protokołu SCP/RCP. SFTP używa bardziej przewidywalnych metod obsługi nazw i nie używa przetwarzania przez powłokę wzorców glob na nazwach plików po drugiej stronie hosta, co stwarza problemy z bezpieczeństwem.
W szczególności przy korzystaniu z SCP i RCP serwer decyduje, które pliki i katalogi wysłać do klienta, a klient sprawdza jedynie poprawność nazw zwracanych obiektów, co w przypadku braku odpowiedniego sprawdzenia przez klienta pozwala serwer do przesyłania innych nazw plików, które różnią się od żądanych. Protokół SFTP nie ma tych problemów, ale nie obsługuje rozszerzania specjalnych ścieżek, takich jak „~/
W końcu jeśli chcesz dowiedzieć się więcej na ten temat o nowej wersji możesz sprawdzić szczegóły przechodząc do poniższego linku.
Jak zainstalować OpenSSH 8.9 w systemie Linux?
Dla tych, którzy są zainteresowani możliwością zainstalowania tej nowej wersji OpenSSH w swoich systemach, na razie mogą to zrobić pobieranie kodu źródłowego tego i wykonanie kompilacji na swoich komputerach.
Dzieje się tak, ponieważ nowa wersja nie została jeszcze uwzględniona w repozytoriach głównych dystrybucji Linuksa. Aby uzyskać kod źródłowy, możesz to zrobić z Link.
Zakończono pobieranie, teraz rozpakujemy pakiet za pomocą następującego polecenia:
tar -xvf openssh-8.9.tar.gz
Wchodzimy do utworzonego katalogu:
cd openssh-8.9
Y możemy skompilować następujące polecenia:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install