ProHoster > Π‘Π»ΠΎΠ³ > warta internet > OpenSSH 8.1 release

OpenSSH 8.1 release

Sawise nem sasi pembangunan diwenehi ngeculake OpenSSH 8.1, implementasi klien lan server sing mbukak kanggo nggarap protokol SSH 2.0 lan SFTP.

Perhatian khusus ing rilis anyar yaiku ngilangi kerentanan sing mengaruhi ssh, sshd, ssh-add lan ssh-keygen. Masalah kasebut ana ing kode kanggo ngurai kunci pribadi kanthi jinis XMSS lan ngidini panyerang bisa micu overflow integer. Kerentanan kasebut ditandhani minangka eksploitasi, nanging ora ana gunane, amarga dhukungan kanggo tombol XMSS minangka fitur eksperimen sing dipateni kanthi standar (versi portabel malah ora duwe opsi mbangun ing autoconf kanggo ngaktifake XMSS).

Owah-owahan utama:

  • Ing ssh, sshd lan ssh-agen ditambahake kode sing ngalangi Recovery saka tombol pribadi dumunung ing RAM minangka asil saka serangan saluran sisih, kayata Spectre, Meltdown, RowHammer ΠΈ RAMBleed. Kunci pribadi saiki dienkripsi nalika dimuat ing memori lan dekripsi mung nalika digunakake, isih ndhelik ing wektu liyane. Kanthi pendekatan iki, kanggo kasil mbalekake kunci pribadi, panyerang kudu mbalekake kunci penengah kanthi acak kanthi ukuran 16 KB, digunakake kanggo ndhelik kunci utama, sing ora mungkin diwenehi tingkat kesalahan pemulihan sing khas saka serangan modern;
  • Π’ ssh-keygen Nambahake dhukungan eksperimen kanggo skema sing disederhanakake kanggo nggawe lan verifikasi tandha digital. Tandha digital bisa digawe nggunakake tombol SSH biasa sing disimpen ing disk utawa ing ssh-agent, lan diverifikasi nggunakake sing padha karo authorized_keys dhaftar tombol bener. Informasi namespace dibangun ing tandha digital supaya ora kebingungan nalika digunakake ing macem-macem wilayah (contone, kanggo email lan file);
  • ssh-keygen wis diuripake minangka standar kanggo nggunakake algoritma rsa-sha2-512 nalika validasi sertifikat karo teken digital adhedhasar tombol RSA (nalika digunakake ing mode CA). Sertifikat kasebut ora kompatibel karo rilis sadurunge OpenSSH 7.2 (kanggo mesthekake kompatibilitas, jinis algoritma kudu diganti, contone kanthi nelpon "ssh-keygen -t ssh-rsa -s ...");
  • Ing ssh, ekspresi ProxyCommand saiki ndhukung ekspansi substitusi "%n" (jeneng host sing ditemtokake ing baris alamat);
  • Ing dhaptar algoritma enkripsi kanggo ssh lan sshd, sampeyan saiki bisa nggunakake karakter "^" kanggo nglebokake algoritma standar. Contone, kanggo nambah ssh-ed25519 menyang dhaptar gawan, sampeyan bisa nemtokake "HostKeyAlgoritms ^ssh-ed25519";
  • ssh-keygen nyedhiyakake output saka komentar sing ditempelake ing kunci nalika ngekstrak kunci umum saka sing pribadi;
  • Nambahake kemampuan kanggo nggunakake flag "-v" ing ssh-keygen nalika nindakake operasi goleki tombol (contone, "ssh-keygen -vF inang"), nemtokake kang asil ing teken inang visual;
  • Ditambahake kemampuan kanggo nggunakake PKCS8 minangka format alternatif kanggo nyimpen kunci pribadi ing disk. Format PEM terus digunakake kanthi standar, lan PKCS8 bisa uga migunani kanggo nggayuh kompatibilitas karo aplikasi pihak katelu.

Source: opennet.ru

Add a comment