После трех месяцев разработки представлен выпуск новой версии OpenSSH 8.3, в котором выделена новая добавленная защита от атак scp, что позволяет серверу передавать другие имена файлов, которые отличаются от запрошенных (В отличие от предыдущей уязвимости, атака не позволяет изменить выбранную пользователем директорию или глобальную маску).
В SCP, сервер решает, какие файлы и каталоги отправлять клиенту, а клиент только проверяет точность возвращаемых имен объектов. Суть выявленной проблемы состоит в том, что в случае сбоя вызова системы хронометража содержимое файла интерпретируется как метаданные файла.
При подключении к серверу, контролируемому злоумышленником, эту функцию можно использовать для сохранения других имен Файл и другое содержимое в ФС пользователя при копировании с использованием scp в настройках, вызывающих сбои по времени. Например, когда время отключено политикой SELinux или фильтром системных вызовов.
Вероятность реальных атак оценивается как минимальная, так как в типичных конфигурациях вызов времени не дает сбоев. Также не остается незамеченной атака: при вызове scp отображается ошибка передачи данных.
Прощай, SHA-1
Кроме того, разработчики OpenSSH также еще раз предупредил о грядущем переводе в разряд устаревших алгоритмов которые используют хеширование SHA-1, из-за повышения эффективности атак с использованием коллизий с заданным префиксом (стоимость выбора коллизии оценивается примерно в 45 тысяч долларов).
В одной из следующих проблем, они планируют отключить по умолчанию возможность использовать алгоритм цифровой подписи с открытым ключом ssh-rsa, который упоминается в исходном RFC для протокола SSH и остается широко распространенным на практике.
Возможные кандидаты
Чтобы упростить переход на новые алгоритмы в OpenSSH в следующем выпуске, параметр UpdateHostKeys будет включен по умолчанию, который автоматически переключит клиентов на более надежные алгоритмы.
Среди рекомендуемых алгоритмов миграции Это: rsa-sha2-256 / 512 на основе RFC8332 RSA SHA-2 (совместим с OpenSSH 7.2 и используется по умолчанию), ssh-ed25519 (совместим с OpenSSH 6.5) и ecdsa-sha2-nistp256 / 384/521 на основе RFC5656. ECDSA (совместим с OpenSSH 5.7).
Прочие изменения
Из последнего выпуска "ssh-rsa" и "diffie-hellman-group14-sha1"»Удалены из списка CASignatureAlgorithms, который определяет допустимые алгоритмы для цифровой подписи новых сертификатов, поскольку использование SHA-1 в сертификатах несет дополнительный риск, поскольку у злоумышленника есть неограниченное время для поиска коллизий для существующего сертификата, в то время как время атаки в ключах хоста ограничено тайм-аут соединения (LoginGraceTime).
Из других изменений которые выделяются из этой новой версии:
- В sftp обработка "-1" прекращается, как в ssh и scp, которые ранее были приняты, но проигнорированы.
- В sshd при использовании IgnoreRhosts теперь доступны три варианта: «да», чтобы игнорировать росты / шопы, «нет», чтобы учитывать росты / шопы, и «только шорты», который разрешает использование «.shosts», но отключает «.rhosts». .
- В ssh обработка переопределения% TOKEN предоставляется в конфигурации LocalFoward и RemoteForward, используемой для перенаправления сокетов Unix.
- Разрешается скачивать открытые ключи из файла, не зашифрованного закрытым ключом, если нет отдельного файла с открытым ключом.
- Если в системе есть libcrypto в ssh и sshd, теперь она использует реализацию алгоритма chacha20 этой библиотеки вместо встроенной переносимой реализации, которая имеет более низкую производительность.
- Реализована возможность выгрузки содержимого бинарного списка отозванных сертификатов при выполнении команды «ssh-keygen -lQf / path».
- В портативной версии реализованы определения системы, в которых сигналы с опцией SA_RESTART нарушают выбор;
- Исправлены проблемы компиляции в системах HP / UX и AIX.
- Исправлены проблемы компиляции для песочницы seccomp в некоторых конфигурациях Linux.
- Определение библиотеки libfido2 было улучшено, и проблемы компиляции были решены с помощью опции –with-security-key-builtin.
Как установить OpenSSH 8.3 в Linux?
Для тех, кто заинтересован в возможности установить эту новую версию OpenSSH в своих системах, пока они могут это сделать скачивая исходный код этого и выполняя компиляцию на своих компьютерах.
Это связано с тем, что новая версия еще не включена в репозитории основных дистрибутивов Linux. Чтобы получить исходный код, вы можете сделать это из следующую ссылку.
Готово, Теперь мы собираемся распаковать пакет с помощью следующей команды:
tar -xvf openssh-8.3.tar.gz
Входим в созданный каталог:
cd openssh-8.3
Y мы можем скомпилировать с следующие команды:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install
Спасибо за информацию :)