Bolo zverejnené Vydanie OpenSSH 9.3, implementácia otvoreného klienta a servera na prácu s protokolmi SSH 2.0 a SFTP. Nová verzia OpenSSH 9.3 dokáže okrem pridania niektorých nových funkcií opraviť aj niektoré bezpečnostné problémy
Pre tých, ktorí nevedia o OpenSSH (Open Secure Shell), by to mali vedieť toto je súbor aplikácií, ktoré umožňujú šifrovanú komunikáciu v sieti pomocou protokolu SSH. Bol vytvorený ako bezplatná a otvorená alternatíva k programu Secure Shell, ktorým je patentovaný softvér.
Hlavné nové funkcie OpenSSH 9.3
V tejto novej verzii vychádzajúcej z OpenSSH 9.3 je jednou z nových funkcií, že sshd pridáva možnosť `sshd -G`, ktorá analyzuje a vytlačí aktuálnu konfiguráciu bez pokusu o načítanie súkromných kľúčov a vykonanie iných kontrol. To umožňuje použiť túto možnosť pred vygenerovaním kľúčov a na vyhodnotenie a overenie konfigurácie neprivilegovanými používateľmi.
Pre časť na opravu chýb, v obslužnom programe ssh-add sa našla logická chyba, takže pri pridávaní kľúčov čipovej karty do ssh-agenta neboli obmedzenia špecifikované voľbou "ssh-add -h" odovzdané agentovi. V dôsledku toho bol do agenta pridaný kľúč, takže neexistovali žiadne obmedzenia, ktoré by umožňovali pripojenia len z určitých hostiteľov.
Ďalšia z opráv ktorá bola implementovaná, je zraniteľnosť v obslužnom programe ssh, ktorá by mohla spôsobiť čítanie údajov z oblasti zásobníka pri spracovaní špeciálne vytvorených odpovedí DNS, ak je v konfiguračnom súbore zahrnuté nastavenie VerifyHostKeyDNS.
Problém existuje v zabudovanej implementácii funkcie getrrsetbyname(), ktorá sa používa na prenosných verziách OpenSSH vytvorených bez použitia externej knižnice ldns (–with-ldns) a na systémoch so štandardnými knižnicami, ktoré nepodporujú getrrsetbyname() volania. Možnosť zneužitia tejto zraniteľnosti iným spôsobom ako iniciovať odmietnutie služby pre klienta ssh sa považuje za nepravdepodobnú.
Z nových verzií, ktoré vynikajú:
- V scp a sftp opravuje poškodenie ukazovateľa priebehu na širokouhlých obrazovkách;
- ssh-add a ssh-keygen používajú RSA/SHA256 pri testovaní použiteľnosti súkromného kľúča, pretože niektoré systémy začínajú zakazovať RSA/SHA1 v libcrypto.
- V sftp-server urobil opravu pre únik pamäte.
- V ssh, sshd a ssh-keyscan bol odstránený kód kompatibility a zjednodušilo sa to, čo zostalo z „vestigal“ protokolu.
- Opravili sme sériu výsledkov statickej analýzy Coverity s nízkym dopadom.
Medzi ne patrí niekoľko hlásených:
* ssh_config(5), sshd_config(5): spomeňte, že niektoré možnosti nie sú
prvý vyhratý zápas
* Prepracovať protokol pre regresné testovanie. Regresné testovanie teraz
zachytiť samostatné protokoly pre každé vyvolanie ssh a sshd v teste.
* ssh(1): aby `ssh -Q CASignatureAlgorithms` fungovali ako manuálová stránka
hovorí, že by malo; bz3532.
Nakoniec treba poznamenať, že v knižnici libskey možno pozorovať zraniteľnosť súčasťou OpenBSD, ktorý používa OpenSSH. Problém sa vyskytuje od roku 1997 a môže spôsobiť pretečenie zásobníka pri spracovaní špeciálne vytvorených názvov hostiteľov.
Konečne ak máte záujem dozvedieť sa o tom viac o tejto novej verzii, môžete skontrolovať podrobnosti prechodom na nasledujúci odkaz.
Ako nainštalovať OpenSSH 9.3 na Linuxe?
Pre tých, ktorí majú záujem o inštaláciu tejto novej verzie OpenSSH do svojich systémov, zatiaľ to môžu robiť stiahnutie zdrojového kódu tohto a na svojich počítačoch.
Je to preto, že nová verzia ešte nebola zahrnutá do úložísk hlavných distribúcií Linuxu. Zdrojový kód môžete získať z adresy nasledujúci odkaz.
Ukončiť sťahovanie, teraz rozbalíme balíček nasledujúcim príkazom:
tar -xvf openssh-9.3.tar.gz
Zadáme vytvorený adresár:
cd openssh-9.3
Y môžeme zostaviť s nasledujúce príkazy:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install