Veröffentlichung von OpenSSH 8.0

Nach fünf Monaten Entwicklung wurde vorgestellt Release OpenSSH 8.0, einer Open-Source-Implementierung von Client und Server für die Protokolle SSH 2.0 und SFTP.

Wesentliche Änderungen:

  • In ssh und sshd wurde experimentelle Unterstützung für eine Quantenschutzmethode zur Schlüsselaustauschimplementierung hinzugefügt. Quantencomputer sind erheblich schneller bei der Faktorisierung natürlicher Zahlen, was die Grundlage moderner asymmetrischer Verschlüsselungsalgorithmen bildet und auf klassischen Prozessoren effizient unlösbar ist. Die vorgeschlagene Methode basiert auf dem Algorithmus NTRU Prime (Funktion ntrup4591761), die für Post-Quanten-Kryptosysteme entwickelt wurde, und einer Schlüsselaustauschmethode, die auf elliptischen Kurven X25519 basiert;
  • In sshd wurden die Direktiven ListenAddress und PermitOpen von der veralteten Syntax „host/port“ befreit, die 2001 als Alternative zu „host:port“ eingeführt wurde, um die Handhabung von IPv6 zu vereinfachen. Heute hat sich für IPv6 die Syntax „[::1]:22“ etabliert, während „host/port“ häufig mit der Angabe eines Subnetzes (CIDR) verwechselt wird;
  • In ssh, ssh-agent und ssh-add wurde die Unterstützung für Schlüssel ECDSA in PKCS#11-Tokens implementiert;
  • In ssh-keygen wurde die Standardgröße des RSA-Schlüssels auf 3072 Bit erhöht, um den neuen Empfehlungen von NIST zu entsprechen;
  • In SSH ist die Einstellung „PKCS11Provider=none“ erlaubt, um die im ssh_config festgelegte PKCS11Provider-Direktive zu überschreiben.
  • In SSHD wird in den Logs angezeigt, wenn eine Verbindung beendet wurde, während versucht wurde, Befehle auszuführen, die durch die Einschränkung „ForceCommand=internal-sftp“ in der sshd_config blockiert sind.
  • In SSH wird bei der Ausgabe der Bestätigung zur Annahme eines neuen Hostschlüssels anstelle der Antwort „yes“ nun der korrekte Fingerabdruck des Schlüssels anerkannt (Benutzer können den erhaltenen Referenz-Hash über die Zwischenablage kopieren, um ihn manuell zu vergleichen).
  • In ssh-keygen wird die automatische Erhöhung der Sequenznummer im Zertifikat beim Erstellen digitaler Signaturen für mehrere Zertifikate in der Befehlszeile gewährleistet.
  • In SCP und SFTP wurde eine neue Option „-J“ hinzugefügt, die der ProxyJump-Einstellung entspricht.
  • In ssh-agent, ssh-pkcs11-helper und ssh-add wurde die Verarbeitung der Befehlszeilenoption „-v“ zur Verbesserung der Ausgabe-Informativität hinzugefügt (bei Angabe wird diese Option auch an untergeordnete Prozesse übergeben, z. B. wenn ssh-pkcs11-helper von ssh-agent aufgerufen wird).
  • In ssh-add wurde die Option „-T“ hinzugefügt, um die Eignung von Schlüsseln im ssh-agent für die Erstellung und Verifizierung digitaler Signaturen zu testen.
  • Im sftp-server wurde die Unterstützung für die Protokollerweiterung „lsetstat at openssh.com“ implementiert, die für SFTP die Operation SSH2_FXP_SETSTAT unterstützt, jedoch ohne symbolische Links zu folgen.
  • Im sftp wurde die Option „-h“ hinzugefügt, um die Befehle chown/chgrp/chmod ohne Verwendung symbolischer Links auszuführen.
  • Im sshd wird die Umgebungsvariable $SSH_CONNECTION für PAM gesetzt.
  • Für den sshd wurde im ssh_config der „Match final“-Modus hinzugefügt, der dem „Match canonical“ ähnelt, aber keine Hostnamen-Normalisierung erfordert.
  • Im sftp wurde die Unterstützung für das Präfix ‚@‘ hinzugefügt, um die Ausgabe von Befehlen im Batch-Modus zu deaktivieren.
  • Beim Ausgeben des Inhalts eines Zertifikats mit dem Befehl
    „ssh-keygen -Lf /path/certificate“ wird nun der Algorithmus angezeigt, der vom Zertifizierungsstelle zur Zertifikatsbestätigung verwendet wurde.
  • Die Unterstützung für die Cygwin-Umgebung wurde verbessert, z. B. wird der Vergleich von Gruppen- und Benutzernamen ohne Berücksichtigung der Groß- und Kleinschreibung ermöglicht. Der sshd-Prozess im Cygwin-Port wurde in cygsshd umbenannt, um Überschneidungen mit dem von Microsoft bereitgestellten OpenSSH-Port zu vermeiden;
  • Die Möglichkeit zur Erstellung mit dem experimentellen Zweig OpenSSL 3.x wurde hinzugefügt;
  • Beheben in Cisco-Switches die gesamte Unternehmensnetzwerkwelt fast weltweit in Frage. (CVE-2019-6111) in der Implementierung des Tools scp, das es ermöglicht, beliebige Dateien im Zielverzeichnis auf Seiten des Clients zu überschreiben, wenn man sich mit einem vom Angreifer kontrollierten Server verbindet. Das Problem besteht darin, dass der Server bei der Verwendung von scp entscheidet, welche Dateien und Verzeichnisse an den Client gesendet werden, während der Client lediglich die Korrektheit der zurückgegebenen Objektnamen überprüft. Die Überprüfung auf der Client-Seite beschränkt sich nur darauf, den Zugriff außerhalb des aktuellen Verzeichnisses zu blockieren ("../"), berücksichtigt jedoch nicht die Übertragung von Dateien mit Namen, die von den ursprünglich angeforderten abweichen. Im Falle einer rekursiven Kopie (-r) ist es möglich, nicht nur die Dateinamen auf diese Weise zu manipulieren, sondern auch die Namen der Unterverzeichnisse. Beispielsweise kann der vom Angreifer kontrollierte Server beim Kopieren von Dateien in das Heimatverzeichnis des Benutzers anstelle der angeforderten Dateien Dateien mit den Namen .bash_aliases oder .ssh/authorized_keys ausgeben, die dann vom Tool scp im Heimatverzeichnis des Benutzers gespeichert werden.

    In der neuen Version der SCP-Utility wurde eine Überprüfung der Übereinstimmung von angeforderten und vom Server zurückgegebenen Dateinamen eingeführt, die auf der Client-Seite durchgeführt wird. Dabei können Probleme mit der Behandlung von Platzhaltersymbolen auftreten, da diese auf der Server- und Client-Seite unterschiedlich verarbeitet werden können. Um sicherzustellen, dass der Client aufgrund solcher Unterschiede keine Dateien mehr über SCP akzeptiert, wurde die Option „-T“ hinzugefügt, die die Überprüfung auf der Client-Seite deaktiviert. Für eine umfassende Behebung des Problems ist eine grundlegende Überarbeitung des SCP-Protokolls erforderlich, das bereits veraltet ist. Daher wird empfohlen, modernere Protokolle wie SFTP und Rsync zu verwenden.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster