OpenSSH 8.3 มาแล้วและนี่คือข่าวสาร

หลังจากสามเดือนของการพัฒนา มีการนำเสนอ OpenSSH 8.3 เวอร์ชันใหม่ ซึ่งใน มีการเน้นการป้องกันที่เพิ่มเข้ามาใหม่จากการโจมตีด้วย scp, อะไร อนุญาตให้เซิร์ฟเวอร์ถ่ายโอนชื่อไฟล์อื่นที่แตกต่างจากที่ร้องขอ (ซึ่งแตกต่างจากช่องโหว่ก่อนหน้านี้การโจมตีไม่อนุญาตให้เปลี่ยนไดเร็กทอรีที่ผู้ใช้เลือกหรือมาสก์ส่วนกลาง)

ใน SCP เซิร์ฟเวอร์จะตัดสินใจว่าไฟล์และไดเร็กทอรีใดที่จะส่งไปยังไคลเอ็นต์และไคลเอ็นต์จะตรวจสอบความถูกต้องเท่านั้น ของชื่อวัตถุที่ส่งคืน สาระสำคัญของปัญหาที่ระบุคือหากการเรียกไปยังระบบจับเวลาล้มเหลวเนื้อหาของไฟล์จะถูกตีความว่าเป็นข้อมูลเมตาของไฟล์

เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีสามารถใช้ฟังก์ชันนี้เพื่อบันทึกชื่ออื่นได้ ไฟล์และเนื้อหาอื่น ๆ ใน FS ของผู้ใช้เมื่อคัดลอกโดยใช้ scp ในการตั้งค่าที่ทำให้เวลาล้มเหลว ตัวอย่างเช่นเมื่อเวลาถูกปิดใช้งานโดยนโยบาย SELinux หรือตัวกรองการโทรของระบบ

ความน่าจะเป็นของการโจมตีจริงคาดว่าจะน้อยที่สุดเนื่องจากในการกำหนดค่าโดยทั่วไปการเรียกเวลาจะไม่ล้มเหลว นอกจากนี้การโจมตีจะไม่มีใครสังเกตเห็น: เมื่อเรียกใช้ scp ข้อผิดพลาดในการส่งข้อมูลจะปรากฏขึ้น

ลาก่อน SHA-1

นอกจากนี้นักพัฒนา OpenSSH ยัง เตือนอีกครั้งเกี่ยวกับการถ่ายโอนที่กำลังจะเกิดขึ้นไปยังหมวดหมู่อัลกอริทึมที่ล้าสมัย ที่ใช้การแฮช SHA-1 เนื่องจากประสิทธิภาพในการโจมตีที่เพิ่มขึ้นด้วยคำนำหน้าที่กำหนด (ค่าใช้จ่ายในการเลือกการชนกันประมาณ 45 เหรียญสหรัฐ)

ในหนึ่งในปัญหาต่อไปนี้พวกเขาวางแผนที่จะปิดการใช้งาน โดยค่าเริ่มต้นความสามารถในการใช้อัลกอริธึมลายเซ็นดิจิทัลคีย์สาธารณะ ssh-rsa ซึ่งกล่าวถึงใน RFC ดั้งเดิมสำหรับโปรโตคอล SSH และยังคงแพร่หลายในทางปฏิบัติ

ผู้สมัครที่เป็นไปได้

เพื่อความสะดวกในการเปลี่ยนไปใช้อัลกอริทึมใหม่ใน OpenSSH ในรุ่นที่กำลังจะมาถึง การตั้งค่า UpdateHostKeys จะเปิดใช้งานโดยค่าเริ่มต้น ซึ่งจะเปลี่ยนไคลเอนต์ไปใช้อัลกอริทึมที่น่าเชื่อถือมากขึ้นโดยอัตโนมัติ

ในบรรดาอัลกอริทึมที่แนะนำสำหรับการย้ายข้อมูล ได้แก่ rsa-sha2-256 / 512 ขึ้นอยู่กับ RFC8332 RSA SHA-2 (เข้ากันได้กับ OpenSSH 7.2 และใช้โดยค่าเริ่มต้น), ssh-ed25519 (เข้ากันได้กับ OpenSSH 6.5) และ ecdsa-sha2-nistp256 / 384/521 ตาม RFC5656 ECDSA (รองรับ OpenSSH 5.7)

การเปลี่ยนแปลงอื่น ๆ

จากฉบับที่แล้ว "ssh-rsa" และ "diffie-hellman-group14-sha1»ถูกลบออกจากรายการ CASignatureAlgorithmsซึ่งกำหนดอัลกอริทึมที่ถูกต้องในการลงนามใบรับรองใหม่แบบดิจิทัลเนื่องจากการใช้ SHA-1 ในใบรับรองมีความเสี่ยงเพิ่มเติมเนื่องจากผู้โจมตีมีเวลาไม่ จำกัด ในการค้นหาการชนกันของใบรับรองที่มีอยู่ในขณะที่เวลาในการโจมตีในคีย์โฮสต์ถูก จำกัด โดย หมดเวลาการเชื่อมต่อ (LoginGraceTime)

จากการเปลี่ยนแปลงอื่น ๆ ที่โดดเด่นกว่ารุ่นใหม่นี้คือ:

  • ใน sftp การประมวลผล "-1" จะหยุดเช่นเดียวกับ ssh และ scp ซึ่งก่อนหน้านี้ได้รับการยอมรับ แต่ถูกเพิกเฉย
  • ใน sshd เมื่อใช้ IgnoreRhosts ตอนนี้มีตัวเลือกสามตัวเลือก: "ใช่" เพื่อละเว้น rhosts / shosts "ไม่" เพื่อพิจารณา rhosts / shosts และ "shosts-only" ซึ่งอนุญาตให้ใช้ ".shosts" แต่ปิดใช้งาน ".rhosts" .
  • ใน ssh การประมวลผลการแทนที่% TOKEN มีให้ในการกำหนดค่า LocalFoward และ RemoteForward ที่ใช้เพื่อเปลี่ยนเส้นทางซ็อกเก็ต Unix
  • อนุญาตให้ดาวน์โหลดคีย์สาธารณะจากไฟล์ที่ไม่ได้เข้ารหัสด้วยคีย์ส่วนตัวหากไม่มีไฟล์แยกต่างหากที่มีคีย์สาธารณะ
  • หากระบบมี libcrypto ใน ssh และ sshd ตอนนี้จะใช้การใช้อัลกอริทึม chacha20 ของไลบรารีนี้แทนการใช้งานแบบพกพาในตัวซึ่งมีประสิทธิภาพต่ำกว่า
  • ความสามารถในการถ่ายโอนเนื้อหาของรายการไบนารีของใบรับรองที่ถูกเพิกถอนเมื่อดำเนินการคำสั่ง "ssh-keygen -lQf / path" ได้ถูกนำไปใช้
  • เวอร์ชันพกพาใช้คำจำกัดความของระบบซึ่งสัญญาณด้วยตัวเลือก SA_RESTART จะทำลายการเลือก
  • ปัญหาการคอมไพล์ที่แก้ไขในระบบ HP / UX และ AIX
  • แก้ไขปัญหาการคอมไพล์สำหรับแซนด์บ็อกซ์ seccomp ในการกำหนดค่า Linux บางอย่าง
  • คำจำกัดความของไลบรารี libfido2 ได้รับการปรับปรุงและปัญหาการคอมไพล์ได้รับการแก้ไขแล้วด้วยอ็อพชัน -with-security-key-builtin

จะติดตั้ง OpenSSH 8.3 บน Linux ได้อย่างไร?

สำหรับผู้ที่สนใจสามารถติดตั้ง OpenSSH เวอร์ชันใหม่นี้บนระบบของตนได้ ตอนนี้พวกเขาทำได้ ดาวน์โหลดซอร์สโค้ดของสิ่งนี้และ ดำเนินการรวบรวมบนคอมพิวเตอร์ของพวกเขา

เนื่องจากเวอร์ชันใหม่ยังไม่รวมอยู่ในที่เก็บของลีนุกซ์หลัก ในการรับซอร์สโค้ดคุณสามารถทำได้จากไฟล์ ลิงค์ต่อไป.

ดาวน์โหลดเสร็จแล้ว ตอนนี้เราจะคลายซิปแพ็คเกจด้วยคำสั่งต่อไปนี้:

tar -xvf openssh-8.3.tar.gz

เราเข้าสู่ไดเร็กทอรีที่สร้างขึ้น:

cd openssh-8.3

Y เราสามารถรวบรวมด้วย คำสั่งต่อไปนี้:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. รับผิดชอบข้อมูล: AB Internet Networks 2008 SL
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา

  1.   จื่อวี่ dijo

    ขอบคุณสำหรับข้อมูล :)