Sau sáu tháng phát triển Đã công bố bản phát hành OpenSSH 8.9, trong đó sửa lỗ hổng trong sshd có thể cho phép truy cập mà không cần xác thực. Sự cố là do tràn số nguyên trong mã xác thực, nhưng việc khai thác chỉ có thể thực hiện được khi kết hợp với các lỗi logic khác trong mã.
Ở dạng hiện tại, lỗ hổng bảo mật không thể bị khai thác khi bật tính năng phân chia đặc quyền, vì biểu hiện của nó bị chặn bởi các kiểm tra riêng biệt được thực hiện trên mã theo dõi phân chia đặc quyền.
Chế độ đặc quyền chia sẻ được bật theo mặc định vào năm 2002 kể từ OpenSSH 3.2.2 và đã được yêu cầu kể từ bản phát hành năm 2017 của OpenSSH 7.5. Ngoài ra, trong các phiên bản di động của OpenSSH kể từ phiên bản 6.5 (2014), lỗ hổng bảo mật bị chặn bằng cách biên dịch với việc bao gồm các cờ để bảo vệ chống lại lỗi tràn số nguyên.
Các tính năng mới chính của OpenSSH 8.9
Trong phiên bản mới này được trình bày, chúng ta có thể thấy rằng lPhiên bản di động của OpenSSH loại bỏ hỗ trợ sshd tích hợp để băm mật khẩu bằng thuật toán MD5 (cho phép liên kết lại với các thư viện bên ngoài như libxcrypt)
ssh, sshd, ssh-add và ssh-agent triển khai một hệ thống con để hạn chế việc chuyển tiếp và sử dụng các khóa được thêm vào ssh-agent.
Hệ thống con cho phép thiết lập các quy tắc xác định cách thức và vị trí các khóa có thể được sử dụng trong ssh-agent. Ví dụ: để thêm khóa chỉ có thể được sử dụng để xác thực khi bất kỳ người dùng nào kết nối với máy chủ lưu trữ scylla.example.org, người dùng kết nối với máy chủ lưu trữ cetus.example.org và người dùng medea kết nối với máy chủ lưu trữ charybdis.example .org, chuyển hướng qua máy chủ trung gian scylla.example.org.
En ssh và sshd, danh sách Các thuật toán KexAl, xác định thứ tự mà các phương pháp trao đổi khóa được chọn, đã thêm theo mặc định thuật toán kết hợp “sntrup761x25519-sha512@openssh.com»(ECDH / x25519 + NTRU Prime), có khả năng chống lại sự lựa chọn trong máy tính lượng tử. Trong OpenSSH 8.9, phương thức thương lượng này đã được thêm vào giữa phương thức ECDH và DH, nhưng nó được lên kế hoạch để được bật theo mặc định trong phiên bản tiếp theo.
ssh-keygen, ssh và ssh-agent đã cải thiện việc xử lý các khóa mã thông báo FIDO được sử dụng để xác minh thiết bị, bao gồm các khóa để xác thực sinh trắc học.
Các thay đổi khác nổi bật trong phiên bản mới này:
- Đã thêm lệnh "ssh-keygen -Y so khớp-nguyên tắc" vào ssh-keygen để kiểm tra tên người dùng trong tệp có danh sách các tên được phép.
- ssh-add và ssh-agent cung cấp khả năng thêm các khóa FIDO được bảo vệ bằng mã PIN vào ssh-agent (lời nhắc mã PIN được hiển thị tại thời điểm xác thực).
- ssh-keygen cho phép bạn chọn thuật toán băm (sha512 hoặc sha256) trong khi ký.
Để cải thiện hiệu suất, ssh và sshd đọc dữ liệu mạng trực tiếp vào bộ đệm gói đến, bỏ qua bộ đệm trung gian trong ngăn xếp. Việc đặt trực tiếp dữ liệu đã nhận vào bộ đệm kênh được thực hiện theo cách tương tự. - Trong ssh, chỉ thị PubkeyAuthentication đã mở rộng danh sách các tham số được hỗ trợ (yes | no | unbound | host-bind) để cung cấp khả năng chọn phần mở rộng giao thức sẽ sử dụng.
Trong một phiên bản tương lai, nó được lên kế hoạch để thay đổi tiện ích scp mặc định sử dụng SFTP thay vì giao thức SCP / RCP kế thừa. SFTP sử dụng các phương pháp xử lý tên dễ đoán hơn và không sử dụng xử lý shell của các mẫu hình cầu trên các tên tệp ở phía bên kia của máy chủ, điều này gây ra các vấn đề bảo mật.
Đặc biệt, khi sử dụng SCP và RCP, máy chủ quyết định tệp và thư mục nào sẽ gửi cho máy khách và máy khách chỉ kiểm tra tính chính xác của tên của các đối tượng được trả về, điều này cho phép máy khách không kiểm tra chính xác. rằng máy chủ để chuyển các tên tệp khác với những tên được yêu cầu. Giao thức SFTP không có những vấn đề này, nhưng nó không hỗ trợ mở rộng các đường dẫn đặc biệt như "~ /
Cuối cùng nếu bạn muốn biết thêm về nó về phiên bản mới này, bạn có thể kiểm tra chi tiết bằng cách truy cập liên kết sau.
Làm thế nào để cài đặt OpenSSH 8.9 trên Linux?
Đối với những người quan tâm đến việc có thể cài đặt phiên bản OpenSSH mới này trên hệ thống của họ, bây giờ họ có thể làm điều đó tải xuống mã nguồn của cái này và thực hiện biên dịch trên máy tính của họ.
Điều này là do phiên bản mới vẫn chưa được đưa vào kho của các bản phân phối Linux chính. Để lấy mã nguồn, bạn có thể làm từ liên kết tiếp theo.
Đã tải xong, bây giờ chúng ta sẽ giải nén gói bằng lệnh sau:
tar -xvf openssh-8.9.tar.gz
Chúng tôi nhập thư mục đã tạo:
cd openssh-8.9
Y chúng tôi có thể biên dịch với các lệnh sau:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install