После шести месяцев разработки Объявлен выпуск OpenSSH 8.9, в котором исправить уязвимость в sshd который потенциально может разрешить доступ без аутентификации. Проблема вызвана целочисленным переполнением в коде аутентификации, но эксплуатация возможна только в сочетании с другими логическими ошибками в коде.
В нынешнем виде уязвимость не может быть использована при включенном разделении привилегий, так как его проявление блокируется отдельными проверками кода отслеживания разделения привилегий.
Режим общих привилегий был включен по умолчанию в 2002 году в OpenSSH 3.2.2 и требуется, начиная с выпуска OpenSSH 2017 в 7.5 году. Кроме того, в портативных версиях OpenSSH, начиная с версии 6.5 (2014 г.), уязвимость блокируется путем компиляции с включением флагов для защиты от целочисленных переполнений.
Основные новые возможности OpenSSH 8.9
В этой новой версии, которая представлена, мы можем обнаружить, что lПортативная версия OpenSSH удаляет встроенную поддержку sshd для хеширования паролей по алгоритму MD5 (разрешена перессылка на внешние библиотеки типа libxcrypt)
ssh, sshd, ssh-add и ssh-agent реализуют подсистему для ограничения пересылки и использования ключей, добавленных в ssh-agent.
Подсистема позволяет устанавливать правила, определяющие, как и где можно использовать ключи в ssh-agent. Например, чтобы добавить ключ, который можно использовать для аутентификации только тогда, когда любой пользователь подключается к хосту scylla.example.org, пользователь perseus подключается к хосту cetus.example.org, а пользователь medea подключается к хосту charybdis.example .org, перенаправление через промежуточный хост scylla.example.org.
En ssh и sshd, список KexAlgorithms, который определяет порядок, в котором выбираются методы обмена ключами, добавил по умолчанию гибридный алгоритм «sntrup761x25519-sha512@openssh.com» (ECDH/x25519 + NTRU Prime), который устойчив к селекции в квантовых компьютерах. В OpenSSH 8.9 этот метод согласования был добавлен между методами ECDH и DH, но планируется включить его по умолчанию в следующей версии.
ssh-keygen, ssh и ssh-agent улучшили обработку токен-ключей FIDO. используется для проверки устройства, включая ключи для биометрической аутентификации.
Из других изменений, которые выделяются в этой новой версии:
- В ssh-keygen добавлена команда «ssh-keygen -Y match-principals» для проверки имен пользователей в файле со списком разрешенных имен.
- ssh-add и ssh-agent позволяют добавлять защищенные PIN-кодом ключи FIDO в ssh-agent (во время аутентификации отображается запрос PIN-кода).
- ssh-keygen позволяет выбрать алгоритм хэширования (sha512 или sha256) при подписании.
Для повышения производительности ssh и sshd считывают сетевые данные напрямую в буфер входящих пакетов, минуя промежуточный буфер в стеке. Аналогично реализовано непосредственное размещение полученных данных в буфере канала. - В ssh директива PubkeyAuthentication расширила список поддерживаемых параметров (yes|no|unbound|host-bound), чтобы предоставить возможность выбирать, какое расширение протокола использовать.
В будущей версии планируется изменение утилиты scp по умолчанию использовать SFTP вместо устаревшего протокола SCP/RCP. SFTP использует более предсказуемые методы обработки имен и не использует оболочку для обработки шаблонов подстановок в именах файлов на другой стороне хоста, что создает проблемы с безопасностью.
В частности, при использовании SCP и RCP сервер решает, какие файлы и каталоги отправить клиенту, а клиент только проверяет корректность имен возвращаемых объектов, что при отсутствии надлежащих проверок со стороны клиента позволяет чтобы сервер передал другие имена файлов, отличающиеся от запрошенных. Протокол SFTP не имеет этих проблем, но он не поддерживает расширение специальных путей типа "~/
В конце концов если вам интересно узнать об этом больше об этой новой версии вы можете проверить подробности перейдя по следующей ссылке.
Как установить OpenSSH 8.9 в Linux?
Для тех, кто заинтересован в возможности установить эту новую версию OpenSSH в своих системах, пока они могут это сделать скачивая исходный код этого и выполняя компиляцию на своих компьютерах.
Это связано с тем, что новая версия еще не включена в репозитории основных дистрибутивов Linux. Чтобы получить исходный код, вы можете сделать это из следующую ссылку.
Готово, Теперь мы собираемся распаковать пакет с помощью следующей команды:
tar -xvf openssh-8.9.tar.gz
Входим в созданный каталог:
cd openssh-8.9
Y мы можем скомпилировать с следующие команды:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install