經過六個月的發展 OpenSSH 8.9 發布,其中 修復 sshd 中的漏洞 這可能允許未經身份驗證的訪問。 該問題是由身份驗證代碼中的整數溢出引起的,但只有結合代碼中的其他邏輯錯誤才能利用。
以目前的形式, 啟用權限劃分時無法利用該漏洞,因為它的表現被對特權劃分跟踪代碼執行的單獨檢查所阻止。
共享權限模式在 2002 年的 OpenSSH 3.2.2 中默認啟用,並且自 2017 年 OpenSSH 7.5 版本以來一直是必需的。 此外,在自版本 6.5 (2014) 以來的 OpenSSH 可移植版本中,該漏洞通過編譯包含標誌以防止整數溢出而被阻止。
OpenSSH 8.9的主要新功能
在呈現的這個新版本中,我們可以發現 l便攜版 OpenSSH 移除了內置的 sshd 支持 使用 MD5 算法進行密碼散列(允許重新鏈接到 libxcrypt 等外部庫)
ssh、sshd、ssh-add 和 ssh-agent 實現了一個子系統來限制添加到 ssh-agent 的密鑰的轉發和使用。
子系統 允許設置規則來確定密鑰在 ssh-agent 中的使用方式和位置. 例如,要添加一個只能在任何用戶連接到主機 scylla.example.org 時使用的密鑰,用戶 perseus 連接到主機 cetus.example.org,用戶 medea 連接到主機 charybdis.example .org 主機,通過中間宿主 scylla.example.org 重定向。
En ssh 和 sshd,KexAlgorithms 列表, 它決定了選擇密鑰交換方法的順序, 默認添加了混合算法“sntrup761x25519-sha512@openssh.com» (ECDH/x25519 + NTRU Prime),抗量子計算機中的選擇。 在 OpenSSH 8.9 中,在 ECDH 和 DH 方法之間添加了這種協商方法,但計劃在下一個版本中默認啟用。
ssh-keygen、ssh 和 ssh-agent 改進了對 FIDO 令牌密鑰的處理 用於設備驗證,包括用於生物特徵認證的密鑰。
在此新版本中突出的其他更改包括:
- 向 ssh-keygen 添加了“ssh-keygen -Y match-principals”命令,以檢查文件中的用戶名以及允許的名稱列表。
- ssh-add 和 ssh-agent 提供了將受 PIN 保護的 FIDO 密鑰添加到 ssh-agent 的能力(在身份驗證時顯示 PIN 提示)。
- ssh-keygen 允許您在簽名期間選擇哈希算法(sha512 或 sha256)。
為了提高性能,ssh 和 sshd 直接將網絡數據讀取到傳入的數據包緩衝區,繞過堆棧中的中間緩衝區。 將接收到的數據直接放置在通道緩衝區中以類似的方式實現。 - 在 ssh 中,PubkeyAuthentication 指令擴展了支持的參數列表 (yes|no|unbound|host-bound) 以提供選擇要使用的協議擴展的能力。
在未來的版本中,計劃更改 scp 實用程序 默認使用 SFTP 而不是傳統的 SCP/RCP 協議. SFTP 使用更可預測的名稱處理方法,並且不對主機另一端的文件名使用 glob 模式的 shell 處理,這會產生安全問題。
特別是在使用 SCP 和 RCP 時,服務器決定將哪些文件和目錄發送給客戶端,客戶端只檢查返回對象名稱的正確性,在客戶端沒有適當檢查的情況下,允許服務器傳輸與請求的不同的其他文件名。 SFTP協議不存在這些問題,但不支持“~/
終於 如果您有興趣了解更多信息 關於這個新版本,您可以查看詳細信息 通過轉到以下鏈接。
如何在Linux上安裝OpenSSH 8.9?
對於那些對能夠在其係統上安裝此新版本的OpenSSH感興趣的人, 現在他們可以做到 下載此源代碼並 在他們的計算機上執行編譯。
這是因為新版本尚未包含在主要Linux發行版的存儲庫中。 要獲取源代碼,您可以從 下一個鏈接.
完成下載, 現在,我們將使用以下命令解壓縮該軟件包:
tar -xvf openssh-8.9.tar.gz
我們輸入創建的目錄:
cd openssh-8.9
Y 我們可以用 以下命令:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install