Нова верзија ОпенССХ 8.8 је већ објављен и ову нову верзију издваја се по подразумеваном онемогућавању могућности коришћења дигиталних потписа засновано на РСА кључевима са СХА-1 хасх-ом ("ссх-рса").
Крај подршке за потписе „ссх-рса“ је последица повећања ефикасности напада судара са датим префиксом (трошкови погађања судара процењени су на око 50 хиљада долара). Да бисте тестирали употребу ссх-рса на систему, можете покушати да се повежете преко ссх са опцијом "-оХостКеиАлгоритхмс = -ссх-рса".
Осим тога, подршка за РСА потписе са СХА-256 и СХА-512 (рса-сха2-256 / 512) хешевима, који су подржани од ОпенССХ 7.2, се није променила. У већини случајева престанак подршке за „ссх-рса“ неће захтевати ручне мере. корисника, пошто је поставка УпдатеХостКеис претходно подразумевано била омогућена у ОпенССХ -у, што аутоматски преводи клијенте у поузданије алгоритме.
Ова верзија онемогућава РСА потписе користећи СХА-1 алгоритам хеширања Уобичајено. Ова промена је извршена пошто је СХА-1 хасх алгоритам криптографски разбијен, а могуће је креирати изабрани префикс хасх цоллисионс би
За већину корисника ова промена би требало да буде невидљива и постоји нема потребе да мењате ссх-рса кључеве. ОпенССХ је усклађен са РФЦ8332 РСА / СХА-256 /512 потписи из верзије 7.2 и постојећи ссх-рса кључеви аутоматски ће користити најјачи алгоритам кад год је то могуће.
За миграцију се користи проширење протокола "хосткеис@опенссх.цом"«, Што омогућава серверу да, након проласка аутентификације, обавести клијента о свим доступним кључевима хоста. Приликом повезивања на хостове са веома старим верзијама ОпенССХ-а на страни клијента, можете селективно преокренути могућност коришћења потписа „ссх-рса“ додавањем ~ / .ссх / цонфиг
Нова верзија такође решава безбедносни проблем изазван ссхд -ом, будући да је ОпенССХ 6.2, погрешно иницијализовање групе корисника приликом извршавања наредби наведених у директивама АутхоризедКеисЦомманд и АутхоризедПринципалсЦомманд.
Ове директиве треба да осигурају да се команде изводе под другим корисником, али су у ствари наследиле листу група које се користе при покретању ссхд -а. Потенцијално, ово понашање, с обзиром на одређене системске конфигурације, дозволило је покренутом контролеру да стекне додатне привилегије на систему.
Напомене о издању они такође укључују упозорење о намери да се промени услужни програм сцп Уобичајено да користи СФТП уместо наслеђеног СЦП / РЦП протокола. СФТП примењује предвидљивија имена метода, а глобални обрасци за необрађивање се користе у именима датотека кроз љуску са друге стране хоста, стварајући забринутост за безбедност.
Конкретно, при коришћењу СЦП -а и РЦП -а, сервер одлучује које датотеке и директоријуме ће послати клијенту, а клијент само проверава исправност враћених назива објеката, што, у одсуству одговарајућих провера на страни клијента, омогућава сервер за пренос других назива датотека који се разликују од захтеваних.
СФТП -у недостају ови проблеми, али не подржава проширење посебних рута попут "~ /". Да би се премостила ова разлика, у претходној верзији ОпенССХ -а, ново СФТП проширење је предложено у имплементацији СФТП сервера за откривање путања ~ / и ~ корисника /.
Коначно ако сте заинтересовани да сазнате више о томе о овој новој верзији можете погледати детаље одласком на следећу везу.
Како инсталирати ОпенССХ 8.8 на Линук?
За оне који су заинтересовани за могућност инсталирања ове нове верзије ОпенССХ-а на своје системе, за сада то могу преузимајући изворни код овог и изводећи компилацију на својим рачунарима.
То је зато што нова верзија још увек није укључена у спремишта главних Линук дистрибуција. Да бисте добили изворни код, то можете учинити са следећи линк.
Завршено преузимање, сада ћемо распаковати пакет следећом наредбом:
tar -xvf openssh-8.8.tar.gz
Улазимо у креирани директоријум:
cd openssh-8.8
Y можемо саставити са следеће наредбе:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install