经过六个月的发展 OpenSSH 8.9 发布,其中 修复 sshd 中的漏洞 这可能允许未经身份验证的访问。 该问题是由身份验证代码中的整数溢出引起的,但只有结合代码中的其他逻辑错误才能利用。
以目前的形式, 启用权限划分时无法利用该漏洞,因为它的表现被对特权划分跟踪代码执行的单独检查所阻止。
共享权限模式在 2002 年的 OpenSSH 3.2.2 中默认启用,并且自 2017 年 OpenSSH 7.5 版本以来一直是必需的。 此外,在自版本 6.5 (2014) 以来的 OpenSSH 可移植版本中,该漏洞通过编译包含标志以防止整数溢出而被阻止。
OpenSSH 8.9的主要新功能
在呈现的这个新版本中,我们可以发现 l便携版 OpenSSH 移除了内置的 sshd 支持 使用 MD5 算法进行密码散列(允许重新链接到 libxcrypt 等外部库)
ssh、sshd、ssh-add 和 ssh-agent 实现了一个子系统来限制添加到 ssh-agent 的密钥的转发和使用。
子系统 允许设置规则来确定密钥在 ssh-agent 中的使用方式和位置. 例如,要添加一个只能在任何用户连接到主机 scylla.example.org 时使用的密钥,用户 perseus 连接到主机 cetus.example.org,用户 medea 连接到主机 charybdis.example .org 主机,通过中间宿主 scylla.example.org 重定向。
En ssh 和 sshd,KexAlgorithms 列表, 它决定了选择密钥交换方法的顺序, 默认添加了混合算法“sntrup761x25519-sha512@openssh.com» (ECDH/x25519 + NTRU Prime),抗量子计算机中的选择。 在 OpenSSH 8.9 中,在 ECDH 和 DH 方法之间添加了这种协商方法,但计划在下一个版本中默认启用。
ssh-keygen、ssh 和 ssh-agent 改进了对 FIDO 令牌密钥的处理 用于设备验证,包括用于生物特征认证的密钥。
在此新版本中突出的其他更改包括:
- 向 ssh-keygen 添加了“ssh-keygen -Y match-principals”命令,以检查文件中的用户名以及允许的名称列表。
- ssh-add 和 ssh-agent 提供了将受 PIN 保护的 FIDO 密钥添加到 ssh-agent 的能力(在身份验证时显示 PIN 提示)。
- ssh-keygen 允许您在签名期间选择哈希算法(sha512 或 sha256)。
为了提高性能,ssh 和 sshd 直接将网络数据读取到传入的数据包缓冲区,绕过堆栈中的中间缓冲区。 将接收到的数据直接放置在通道缓冲区中以类似的方式实现。 - 在 ssh 中,PubkeyAuthentication 指令扩展了支持的参数列表 (yes|no|unbound|host-bound) 以提供选择要使用的协议扩展的能力。
在未来的版本中,计划更改 scp 实用程序 默认使用 SFTP 而不是传统的 SCP/RCP 协议. SFTP 使用更可预测的名称处理方法,并且不对主机另一端的文件名使用 glob 模式的 shell 处理,这会产生安全问题。
特别是在使用 SCP 和 RCP 时,服务器决定将哪些文件和目录发送给客户端,客户端只检查返回对象名称的正确性,在客户端没有适当检查的情况下,允许服务器传输与请求的不同的其他文件名。 SFTP协议不存在这些问题,但不支持“~/
最后 如果您有兴趣了解更多信息 关于这个新版本,您可以查看详细信息 通过转到以下链接。
如何在Linux上安装OpenSSH 8.9?
对于那些对能够在其系统上安装此新版本的OpenSSH感兴趣的人, 现在他们可以做到 下载此源代码并 在他们的计算机上执行编译。
这是因为新版本尚未包含在主要Linux发行版的存储库中。 要获取源代码,您可以从 以下链接.
完成下载, 现在,我们将使用以下命令解压缩该软件包:
tar -xvf openssh-8.9.tar.gz
我们输入创建的目录:
cd openssh-8.9
Y 我们可以用 以下命令:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install