🥇Издаване на OpenSSH 8.8 с деактивиране на поддръжката за цифрови подписи rsa-sha

Публикувана е версията на OpenSSH 8.8, отворена реализация на клиент и сървър за работа с помощта на протоколите SSH 2.0 и SFTP. Изданието се отличава с това, че деактивира по подразбиране възможността за използване на цифрови подписи, базирани на RSA ключове с хеш SHA-1 („ssh-rsa“).

Прекратяването на поддръжката на подписите „ssh-rsa“ се дължи на повишената ефективност на атаките на сблъсък с даден префикс (цената за избор на сблъсък се оценява на приблизително 50 хиляди долара). За да тествате използването на ssh-rsa на вашите системи, можете да опитате да се свържете чрез ssh с опцията „-oHostKeyAlgorithms=-ssh-rsa“. Поддръжката на RSA подписи с хешове SHA-256 и SHA-512 (rsa-sha2-256/512), които се поддържат от OpenSSH 7.2, остава непроменена.

В повечето случаи преустановяването на поддръжката за „ssh-rsa“ няма да изисква никакви ръчни действия от потребителите, тъй като преди това OpenSSH имаше настройката UpdateHostKeys, активирана по подразбиране, която автоматично мигрира клиентите към по-надеждни алгоритми. За миграция разширението на протокола „[имейл защитен]", което позволява на сървъра, след удостоверяване, да информира клиента за всички налични хост ключове. В случай на свързване към хостове с много стари версии на OpenSSH от страна на клиента, можете избирателно да върнете възможността за използване на подписи „ssh-rsa“, като добавите към ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa

Новата версия също разрешава проблем със сигурността, причинен от sshd, започвайки с OpenSSH 6.2, неправилно инициализиране на потребителската група при изпълнение на команди, посочени в директивите AuthorizedKeysCommand и AuthorizedPrincipalsCommand. Тези директиви трябваше да позволят командите да се изпълняват под друг потребител, но всъщност те наследиха списъка с групи, използвани при изпълнение на sshd. Потенциално това поведение, при наличието на определени системни настройки, позволи на стартирания манипулатор да получи допълнителни привилегии в системата.

Новата бележка за изданието също така включва предупреждение, че scp ще използва по подразбиране SFTP вместо наследения SCP/RCP протокол. SFTP използва по-предсказуеми методи за обработка на имена и не използва обработка на обвивката на глобални шаблони в имената на файлове от страната на другия хост, което създава проблеми със сигурността. По-специално, когато се използва SCP и RCP, сървърът решава кои файлове и директории да изпрати на клиента, а клиентът проверява само коректността на върнатите имена на обекти, което при липса на подходящи проверки от страна на клиента позволява на сървър за прехвърляне на други имена на файлове, които се различават от заявените. SFTP протоколът няма тези проблеми, но не поддържа разширяването на специални пътеки като „~/“. За да се справи с тази разлика, предишната версия на OpenSSH въведе ново разширение на SFTP протокол към пътищата ~/ и ~user/ в изпълнението на SFTP сървъра.

Източник: opennet.ru

Издаване на OpenSSH 8.8 с деактивиране на поддръжката за цифрови подписи rsa-sha

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар