OpenSSH — це набір програм, які дозволяють зашифрований обмін даними через мережу за допомогою протоколу SSH.
Його опубліковано Випуск OpenSSH 9.3, відкрита реалізація клієнта та сервера для роботи з протоколами SSH 2.0 та SFTP. У новій версії OpenSSH 9.3 вдалося виправити деякі проблеми безпеки, а також додати деякі нові функції
Це повинні знати ті, хто не знає про OpenSSH (Open Secure Shell) це набір програм, що дозволяють зашифровані комунікації через мережу, використовуючи протокол SSH. Він був створений як безкоштовна та відкрита альтернатива програмі Secure Shell, яка є власним програмним забезпеченням.
Основне нове у OpenSSH 9.3
У цій новій версії OpenSSH 9.3 одна з нових функцій полягає в тому, що sshd додає опцію `sshd -G`, яка аналізує та друкує фактичну конфігурацію, не намагаючись завантажити закриті ключі та виконати інші перевірки. Це дозволяє використовувати опцію до того, як ключі будуть згенеровані, а також для оцінки та перевірки конфігурації непривілейованими користувачами.
Що стосується виправлення помилок, в утиліті ssh-add виявлено логічну помилку, тому під час додавання ключів смарт-карти до ssh-агента обмеження, визначені параметром «ssh-add -h», не були передані агенту. У результаті до агента було додано ключ, тому не було обмежень, які дозволяли підключення лише з певних хостів.
Ще одне з виправлень який було реалізовано, є уразливість утиліти ssh, яка може призвести до зчитування даних із області стеку поза межами виділеного буфера під час обробки спеціально створених відповідей DNS, якщо налаштування VerifyHostKeyDNS включено у файл конфігурації.
Проблема існує у вбудованій реалізації функції getrrsetbyname(), яка використовується в портативних версіях OpenSSH, створених без використання зовнішньої бібліотеки ldns (–with-ldns), і в системах зі стандартними бібліотеками, які не підтримують getrrsetbyname() виклик. Можливість використання вразливості, крім ініціювання відмови в обслуговуванні для клієнта ssh, вважається малоймовірною.
З нових версій, які виділяються:
- У scp і sftp виправлено пошкодження індикатора прогресу на широких екранах;
- ssh-add і ssh-keygen використовують RSA/SHA256 під час тестування зручності використання закритого ключа, оскільки деякі системи починають відключати RSA/SHA1 у libcrypto.
- У sftp-сервері зробили виправлення витоку пам'яті.
- У ssh, sshd і ssh-keyscan код сумісності було вилучено та спрощено те, що залишилося від «vestigal» протоколу.
- Виправлено ряд результатів статичного аналізу Coverity із низьким впливом.
Серед них є кілька повідомлень:
* ssh_config(5), sshd_config(5): зазначте, що деякі параметри не є
перша гра виграна
* Журнал переробки для регресійного тестування. Регресійне тестування зараз
записувати окремі журнали для кожного виклику ssh і sshd у тесті.
* ssh(1): змусити `ssh -Q CASignatureAlgorithms` працювати як сторінку довідки
каже, що треба; bz3532.
Нарешті, слід зазначити, що у бібліотеці libskey можна спостерігати вразливість входить до складу OpenBSD, який використовується OpenSSH. Проблема існує з 1997 року та може спричинити переповнення буфера стека під час обробки спеціально створених імен хостів.
В кінці кінців якщо вам цікаво дізнатись більше про це про цю нову версію, ви можете перевірити деталі перейшовши за таким посиланням.
Як встановити OpenSSH 9.3 на Linux?
Для тих, хто зацікавлений у можливості встановити цю нову версію OpenSSH на свої системи, наразі вони можуть це зробити завантаження вихідного коду цього і виконуючи компіляцію на своїх комп’ютерах.
Це пов’язано з тим, що нова версія ще не включена до сховищ основних дистрибутивів Linux. Щоб отримати вихідний код, ви можете зробити це за допомогою наступна посилання.
Закінчило завантаження, тепер ми збираємося розпакувати пакет наступною командою:
tar -xvf openssh-9.3.tar.gz
Вводимо створений каталог:
cd openssh-9.3
Y ми можемо скомпілювати з наступні команди:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install