OpenSSH é um conjunto de aplicativos que permitem comunicações criptografadas em uma rede, usando o protocolo SSH.
Foi publicado versão OpenSSH 9.3, uma implementação aberta de cliente e servidor para trabalhar com os protocolos SSH 2.0 e SFTP. A nova versão do OpenSSH 9.3 consegue corrigir alguns problemas de segurança, além de adicionar alguns novos recursos
Para quem não conhece OpenSSH (Open Secure Shell) deve saber que este é um conjunto de aplicativos que permitem comunicações criptografadas através de uma rede, usando o protocolo SSH. Ele foi criado como uma alternativa livre e aberta ao programa Secure Shell, que é um software proprietário.
Principais novos recursos do OpenSSH 9.3
Nesta nova versão do OpenSSH 9.3, um dos novos recursos é que o sshd adiciona uma opção `sshd -G` que analisa e imprime a configuração real sem tentar carregar chaves privadas e realizar outras verificações. Isso permite que a opção seja usada antes que as chaves sejam geradas e para avaliação e verificação de configuração por usuários não privilegiados.
Para a parte de correção de bugs, um erro lógico foi encontrado no utilitário ssh-add, portanto, ao incluir chaves de cartão inteligente no ssh-agent, as restrições especificadas com a opção "ssh-add -h" não foram transmitidas ao agente. Como resultado, uma chave foi adicionada ao agente, portanto, não havia restrições que permitissem conexões apenas de determinados hosts.
Outra das correções que foi implementado, é o vulnerabilidade no utilitário ssh que pode fazer com que os dados sejam lidos da área da pilha fora do buffer alocado ao processar respostas DNS especialmente criadas se a configuração VerifyHostKeyDNS estiver incluída no arquivo de configuração.
O problema existe na implementação integrada da função getrrsetbyname(), que é usada em versões portáteis do OpenSSH construídas sem usar a biblioteca ldns externa (–with-ldns) e em sistemas com bibliotecas padrão que não suportam getrrsetbyname() chamando. A possibilidade de explorar a vulnerabilidade, além de iniciar uma negação de serviço para o cliente ssh, é considerada improvável.
Das novas versões que se destacam:
- Em scp e sftp corrige a corrupção do medidor de progresso em telas largas;
- ssh-add e ssh-keygen usam RSA/SHA256 ao testar a usabilidade da chave privada, pois alguns sistemas estão começando a desabilitar RSA/SHA1 em libcrypto.
- No sftp-server, corrigimos um vazamento de memória.
- Em ssh, sshd e ssh-keyscan o código de compatibilidade foi removido e simplificado o que resta do protocolo "vestigal".
- Correção da série de resultados da análise estática Coverity de baixo impacto.
Estes incluem vários relatados:
* ssh_config(5), sshd_config(5): mencione que algumas opções não são
primeiro jogo ganho
* Log de retrabalho para testes de regressão. Teste de regressão agora
capture logs separados para cada chamada ssh e sshd em um teste.
* ssh(1): faz `ssh -Q CASignatureAlgorithms` funcionar como página de manual
diz que deveria; bz3532.
Por último, deve-se notar que uma vulnerabilidade pode ser observada na biblioteca libskey incluído no OpenBSD, que é usado pelo OpenSSH. O problema existe desde 1997 e pode causar um estouro de buffer de pilha ao processar nomes de host especialmente criados.
Finalmente se você estiver interessado em saber mais sobre isso sobre esta nova versão, você pode verificar os detalhes indo para o seguinte link.
Como instalar o OpenSSH 9.3 no Linux?
Para aqueles que estão interessados em poder instalar esta nova versão do OpenSSH em seus sistemas, por enquanto eles podem fazer isso baixando o código-fonte deste e realizando a compilação em seus computadores.
Isso ocorre porque a nova versão ainda não foi incluída nos repositórios das principais distribuições do Linux. Para obter o código-fonte, você pode fazer a partir do seguinte link.
Feito o download, agora vamos descompactar o pacote com o seguinte comando:
tar -xvf openssh-9.3.tar.gz
Entramos no diretório criado:
cd openssh-9.3
Y podemos compilar com os seguintes comandos:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install