ProHoster > Blog > noticias de internet > Lanzamento de OpenSSH 8.0

Lanzamento de OpenSSH 8.0

Despois de cinco meses de desenvolvemento presentado liberación OpenSSH 8.0, unha implementación aberta de cliente e servidor para traballar a través dos protocolos SSH 2.0 e SFTP.

Principais cambios:

  • Engadiuse a ssh e sshd soporte experimental para un método de intercambio de claves resistente aos ataques de forza bruta nun ordenador cuántico. As computadoras cuánticas son radicalmente máis rápidas para resolver o problema de descompoñer un número natural en factores primos, que subxace aos modernos algoritmos de cifrado asimétrico e que non se poden resolver de forma eficaz nos procesadores clásicos. O método proposto baséase no algoritmo NTRU Prime (función ntrup4591761), desenvolvido para sistemas de criptografía poscuánticos, e o método de intercambio de claves de curva elíptica X25519;
  • En sshd, as directivas ListenAddress e PermitOpen xa non admiten a sintaxe herdada "host/port", que se implementou en 2001 como alternativa a "host:port" para simplificar o traballo con IPv6. En condicións modernas, estableceuse a sintaxe “[::6]:1” para IPv22, e a miúdo confúndese “host/port” con indicar a subrede (CIDR);
  • ssh, ssh-agent e ssh-add agora admiten chaves ECDSA en fichas PKCS#11;
  • En ssh-keygen, o tamaño predeterminado da chave RSA aumentou a 3072 bits, de acordo coas novas recomendacións do NIST;
  • ssh permite o uso da configuración "PKCS11Provider=none" para anular a directiva PKCS11Provider especificada en ssh_config;
  • sshd ofrece unha visualización do rexistro das situacións nas que se finaliza a conexión ao intentar executar comandos bloqueados pola restrición "ForceCommand=internal-sftp" en sshd_config;
  • En ssh, cando se mostra unha solicitude para confirmar a aceptación dunha nova clave de host, en lugar da resposta "si", agora acéptase a impresión dixital correcta da clave (en resposta á invitación para confirmar a conexión, o usuario pode copiar o hash de referencia recibido por separado a través do portapapeis, para non comparalo manualmente);
  • ssh-keygen proporciona un incremento automático do número de secuencia do certificado ao crear sinaturas dixitais para varios certificados na liña de comandos;
  • Engadiuse unha nova opción "-J" a scp e sftp, equivalente á configuración ProxyJump;
  • En ssh-agent, ssh-pkcs11-helper e ssh-add, engadiuse o procesamento da opción de liña de comandos "-v" para aumentar o contido de información da saída (cando se especifica, esta opción pásase aos procesos fillos, para exemplo, cando se chama ssh-pkcs11-helper desde ssh-agent );
  • Engadiuse a opción "-T" a ssh-add para probar a idoneidade das claves en ssh-agent para realizar operacións de creación e verificación de sinatura dixital;
  • sftp-server implementa soporte para a extensión de protocolo "lsetstat at openssh.com", que engade soporte para a operación SSH2_FXP_SETSTAT para SFTP, pero sen seguir ligazóns simbólicas;
  • Engadida a opción "-h" a sftp para executar comandos chown/chgrp/chmod con solicitudes que non usan ligazóns simbólicas;
  • sshd proporciona a configuración da variable de ambiente $SSH_CONNECTION para PAM;
  • Para sshd, engadiuse a ssh_config un modo de coincidencia "Coincidir final", que é semellante ao "Coincidir canónico", pero non require que se active a normalización do nome de host;
  • Engadido soporte para o prefixo '@' a sftp para desactivar a tradución da saída dos comandos executados en modo por lotes;
  • Cando mostra o contido dun certificado mediante o comando
    "ssh-keygen -Lf /path/certificate" agora mostra o algoritmo usado pola CA para validar o certificado;

  • Compatibilidade mellorada para o contorno Cygwin, por exemplo, proporcionando comparación entre maiúsculas e minúsculas de nomes de grupos e usuarios. O proceso sshd no porto Cygwin cambiouse a cygsshd para evitar interferencias co porto OpenSSH fornecido por Microsoft;
  • Engadida a posibilidade de construír coa rama experimental OpenSSL 3.x;
  • Eliminado vulnerabilidade (CVE-2019-6111) na implementación da utilidade scp, que permite que os ficheiros arbitrarios do directorio de destino se sobrescriban no lado do cliente ao acceder a un servidor controlado por un atacante. O problema é que ao usar scp, o servidor decide que ficheiros e directorios enviar ao cliente, e o cliente só verifica a corrección dos nomes de obxectos devoltos. A comprobación do lado do cliente limítase só a bloquear as viaxes máis aló do directorio actual ("../"), pero non ten en conta a transferencia de ficheiros con nomes diferentes aos solicitados orixinalmente. No caso da copia recursiva (-r), ademais dos nomes dos ficheiros, tamén se poden manipular os nomes dos subdirectorios dun xeito similar. Por exemplo, se o usuario copia ficheiros no directorio de inicio, o servidor controlado polo atacante pode producir ficheiros cos nomes .bash_aliases ou .ssh/authorized_keys en lugar dos ficheiros solicitados, e serán gardados pola utilidade scp na páxina do usuario. directorio de inicio.

    Na nova versión, a utilidade scp actualizouse para comprobar a correspondencia entre os nomes de ficheiros solicitados e os enviados polo servidor, que se realiza no lado do cliente. Isto pode causar problemas co procesamento de máscaras, xa que os caracteres de expansión de máscaras poden procesarse de forma diferente nos lados do servidor e do cliente. No caso de que tales diferenzas fagan que o cliente deixe de aceptar ficheiros en scp, engadiuse a opción "-T" para desactivar a comprobación do lado do cliente. Para corrixir completamente o problema, é necesaria unha reelaboración conceptual do protocolo scp, que xa está desactualizado, polo que se recomenda utilizar protocolos máis modernos como sftp e rsync.

Fonte: opennet.ru

Engadir un comentario