Den nya versionen av OpenSSH 8.8 har redan släppts och den här nya versionen sticker ut för att inaktivera möjligheten att använda digitala signaturer som standard baserat på RSA-nycklar med en SHA-1-hash ("ssh-rsa").
Stödet för "ssh-rsa" -underskrifter har upphört beror på en ökad effektivitet av kollisionsattacker med ett givet prefix (kostnaden för att gissa kollisionen uppskattas till cirka 50 tusen dollar). För att testa användningen av ssh-rsa på ett system kan du försöka ansluta via ssh med alternativet "-oHostKeyAlgorithms = -ssh-rsa".
Dessutom har stöd för RSA-signaturer med SHA-256 och SHA-512 (rsa-sha2-256 / 512) hash, som stöds sedan OpenSSH 7.2, inte ändrats. I de flesta fall kräver det ingen manuell åtgärd för att avsluta stödet för "ssh-rsa". av användare, eftersom UpdateHostKeys -inställningen tidigare var aktiverad som standard i OpenSSH, vilket automatiskt översätter klienter till mer tillförlitliga algoritmer.
Denna version inaktiverar RSA-signaturer med hjälp av SHA-1-hashningsalgoritmen standard. Denna ändring har gjorts sedan SHA-1 hash-algoritmen är kryptografiskt trasiga, och det är möjligt att skapa det valda prefixet hashkollisioner av
För de flesta användare bör denna förändring vara osynlig och det finns det behöver inte byta ut ssh-rsa-nycklar. OpenSSH är kompatibelt med RFC8332 RSA / SHA-256 /512 signaturer från version 7.2 och befintliga ssh-rsa-nycklar den kommer automatiskt att använda den starkaste algoritmen när det är möjligt.
För migration används protokollstillägget "hostkeys@openssh.com"«, Som gör att servern, efter godkänd autentisering, kan informera klienten om alla tillgängliga värdnycklar. När du ansluter till värdar med mycket gamla versioner av OpenSSH på klientsidan kan du selektivt vända möjligheten att använda "ssh-rsa" -signaturer genom att lägga till ~ / .ssh / config
Den nya versionen fixar också ett säkerhetsproblem som orsakas av sshd, eftersom OpenSSH 6.2, felaktigt initiera användargruppen vid körning av kommandon som anges i AuthorizedKeysCommand och AuthorizedPrincipalsCommand -direktiven.
Dessa direktiv bör se till att kommandona körs under en annan användare, men de ärvde faktiskt listan över grupper som användes vid start av sshd. Potentiellt har detta beteende, med tanke på vissa systemkonfigurationer, gjort det möjligt för den körande styrenheten att få ytterligare privilegier på systemet.
Utgivningsanteckningarna de innehåller också en varning om avsikt att ändra scp -verktyget standard att använda SFTP istället för det gamla SCP / RCP -protokollet. SFTP tillämpar mer förutsägbara metodnamn, och globala icke-bearbetningsmönster används i filnamn genom skalet på den andra värdens sida, vilket skapar säkerhetsproblem.
I synnerhet, när du använder SCP och RCP, bestämmer servern vilka filer och kataloger som ska skickas till klienten, och klienten kontrollerar bara att de returnerade objektnamnen är korrekta, vilket, i avsaknad av korrekta kontroller på klientsidan, tillåter server för att överföra andra filnamn som skiljer sig från de begärda.
SFTP saknar dessa problem, men stöder inte utbyggnad av specialvägar som "~ /". För att åtgärda denna skillnad föreslogs i den tidigare versionen av OpenSSH ett nytt SFTP -tillägg i SFTP -serverimplementeringen för att avslöja ~ / och ~ användaren / sökvägarna.
Slutligen om du är intresserad av att veta mer om det om den här nya versionen kan du kontrollera detaljerna genom att gå till följande länk.
Hur installerar jag OpenSSH 8.8 på Linux?
För dem som är intresserade av att kunna installera den här nya versionen av OpenSSH på sina system, för nu kan de göra det ladda ner källkoden för detta och utför kompilering på sina datorer.
Detta beror på att den nya versionen ännu inte har inkluderats i förvaren för de viktigaste Linux-distributionerna. För att få källkoden kan du göra från följande länk.
Gjorde nedladdningen, nu ska vi packa upp paketet med följande kommando:
tar -xvf openssh-8.8.tar.gz
Vi går in i den skapade katalogen:
cd openssh-8.8
Y vi kan sammanställa med följande kommandon:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install