Després de tres mesos de desenvolupament alliberament , una implementació oberta de client i servidor per treballar mitjançant els protocols SSH 2.0 i SFTP.
La nova versió afegeix protecció contra atacs scp que permeten que el servidor passi altres noms de fitxer diferents dels sol·licitats (a diferència dels , l'atac no permet canviar el directori seleccionat per l'usuari o la màscara de globus). Recordeu que a SCP, el servidor decideix quins fitxers i directoris enviarà al client, i el client només comprova la correcció dels noms d'objectes retornats. L'essència del problema identificat és que si la trucada del sistema utimes falla, el contingut del fitxer s'interpreta com a metadades del fitxer.
Aquesta característica, quan es connecta a un servidor controlat per un atacant, es pot utilitzar per desar altres noms de fitxers i altres continguts a l'FS de l'usuari quan es copia amb scp en configuracions que provoquen un error en cridar a utimes (per exemple, quan utimes està prohibit per la política de SELinux o el filtre de trucades del sistema). S'estima que la probabilitat d'atacs reals és mínima, ja que en configuracions típiques la trucada utimes no falla. A més, l'atac no passa desapercebut: en trucar a scp, es mostra un error de transferència de dades.
Canvis generals:
- A sftp, el processament de l'argument "-1" s'ha aturat, de manera similar a ssh i scp, que abans s'acceptaven però ignorats;
- A sshd, quan s'utilitza IgnoreRhosts, ara hi ha tres opcions: "yes" - ignora rhosts/shosts, "no" - respecta rhosts/shosts, i "shosts-only" - permet ".shosts" però no permet ".rhosts";
- Ssh ara admet la substitució de %TOKEN a la configuració LocalFoward i RemoteForward utilitzada per redirigir els sòcols Unix;
- Permetre la càrrega de claus públiques d'un fitxer sense xifrar amb una clau privada si no hi ha cap fitxer separat amb la clau pública;
- Si libcrypto està disponible al sistema, ssh i sshd ara utilitzen la implementació de l'algorisme chacha20 d'aquesta biblioteca, en lloc de la implementació portàtil integrada, que es queda endarrerida en el rendiment;
- S'ha implementat la capacitat d'abocar el contingut d'una llista binària de certificats revocats en executar l'ordre "ssh-keygen -lQf /path";
- La versió portàtil implementa definicions de sistemes en els quals els senyals amb l'opció SA_RESTART interrompen el funcionament de la selecció;
- S'han resolt problemes de muntatge en sistemes HP/UX i AIX;
- S'han solucionat problemes amb la creació de sandbox seccomp en algunes configuracions de Linux;
- S'ha millorat la detecció de la biblioteca libfido2 i s'han resolt els problemes de compilació amb l'opció "--with-security-key-builtin".
Els desenvolupadors d'OpenSSH també van advertir una vegada més sobre la imminent descomposició dels algorismes que utilitzen hash SHA-1 a causa de l'efectivitat dels atacs de col·lisió amb un prefix determinat (el cost de seleccionar una col·lisió s'estima en aproximadament 45 mil dòlars). En un dels propers llançaments, tenen previst desactivar per defecte la possibilitat d'utilitzar l'algorisme de signatura digital de clau pública "ssh-rsa", que s'esmenta a l'RFC original per al protocol SSH i segueix estès a la pràctica (per provar l'ús). de ssh-rsa als vostres sistemes, podeu provar de connectar-vos mitjançant ssh amb l'opció "-oHostKeyAlgorithms=-ssh-rsa").
Per suavitzar la transició a nous algorismes a OpenSSH, en una versió futura s'habilitarà la configuració UpdateHostKeys de manera predeterminada, que migrarà automàticament els clients a algorismes més fiables. Els algorismes recomanats per a la migració inclouen rsa-sha2-256/512 basat en RFC8332 RSA SHA-2 (admès des d'OpenSSH 7.2 i utilitzat per defecte), ssh-ed25519 (admès des d'OpenSSH 6.5) i basat en ecdsa-sha2-nistp256/384/521/5656. a RFC5.7 ECDSA (admès des d'OpenSSH XNUMX).
Des de la darrera versió, "ssh-rsa" i "diffie-hellman-group14-sha1" s'han eliminat de la llista CASignatureAlgorithms que defineix els algorismes que permeten signar nous certificats digitalment, ja que l'ús de SHA-1 als certificats suposa un risc addicional. perquè l'atacant té temps il·limitat per buscar una col·lisió per a un certificat existent, mentre que el temps d'atac a les claus de l'amfitrió està limitat pel temps d'espera de la connexió (LoginGraceTime).
Font: opennet.ru