ProHoster > Blogs > interneta ziņas > OpenSSH 8.1 izlaiÅ”ana

OpenSSH 8.1 izlaiŔana

Pēc seÅ”u mēneÅ”u attÄ«stÄ«bas uzrādÄ«ts atbrÄ«vot OpenSSH 8.1, atvērta klienta un servera ievieÅ”ana darbam, izmantojot SSH 2.0 un SFTP protokolus.

ÄŖpaÅ”a uzmanÄ«ba jaunajā laidienā ir ievainojamÄ«bas novērÅ”anai, kas ietekmē ssh, sshd, ssh-add un ssh-keygen. Problēma ir privāto atslēgu parsÄ“Å”anas kodā ar XMSS tipu un ļauj uzbrucējam izraisÄ«t vesela skaitļa pārpildÄ«Å”anu. IevainojamÄ«ba ir atzÄ«mēta kā izmantojama, taču tā ir maz lietderÄ«ga, jo atbalsts XMSS atslēgām ir eksperimentāls lÄ«dzeklis, kas pēc noklusējuma ir atspējots (pārnēsājamajai versijai pat nav autoconf izveides opcijas, lai iespējotu XMSS).

Galvenās izmaiņas:

  • Ssh, sshd un ssh-agent piebilda kods, kas neļauj atgÅ«t privāto atslēgu, kas atrodas RAM, sānu kanālu uzbrukumu rezultātā, piemēram, Spoks, sabrukums, RowHammer Šø RAMBleed. Privātās atslēgas tagad tiek Å”ifrētas, kad tās tiek ielādētas atmiņā, un atÅ”ifrētas tikai tad, kad tās tiek lietotas, pārējā laikā paliek Å”ifrētas. Izmantojot Å”o pieeju, lai veiksmÄ«gi atgÅ«tu privāto atslēgu, uzbrucējam vispirms ir jāatgÅ«st nejauÅ”i Ä£enerēta 16 KB liela starpatslēga, ko izmanto galvenās atslēgas Å”ifrÄ“Å”anai, kas ir maz ticams, ņemot vērā mÅ«sdienu uzbrukumiem raksturÄ«go atkopÅ”anas kļūdu lÄ«meni;
  • Š’ ssh-keygen Pievienots eksperimentāls atbalsts vienkārÅ”otai shēmai digitālo parakstu izveidei un pārbaudei. Ciparparakstus var izveidot, izmantojot parastās SSH atslēgas, kas saglabātas diskā vai ssh-agent, un pārbaudÄ«t, izmantojot kaut ko lÄ«dzÄ«gu Author_keys. derÄ«go atslēgu saraksts. Vārdtelpas informācija ir iebÅ«vēta ciparparakstā, lai izvairÄ«tos no neskaidrÄ«bām, ja to izmanto dažādās jomās (piemēram, e-pastam un failiem);
  • ssh-keygen pēc noklusējuma ir pārslēgts, lai izmantotu rsa-sha2-512 algoritmu, apstiprinot sertifikātus ar ciparparakstu, pamatojoties uz RSA atslēgu (strādājot CA režīmā). Šādi sertifikāti nav saderÄ«gi ar laidieniem pirms OpenSSH 7.2 (lai nodroÅ”inātu saderÄ«bu, algoritma tips ir jāiznÄ«cina, piemēram, izsaucot "ssh-keygen -t ssh-rsa -s ...");
  • Programmā ssh ProxyCommand izteiksme tagad atbalsta "%n" aizstāŔanas paplaÅ”ināŔanu (adreses joslā norādÄ«tais resursdatora nosaukums);
  • Ssh un sshd Å”ifrÄ“Å”anas algoritmu sarakstos tagad varat izmantot rakstzÄ«mi "^", lai ievietotu noklusējuma algoritmus. Piemēram, lai pievienotu ssh-ed25519 noklusējuma sarakstam, varat norādÄ«t "HostKeyAlgorithms ^ssh-ed25519";
  • ssh-keygen nodroÅ”ina atslēgai pievienotā komentāra izvadi, kad tiek iegÅ«ta publiskā atslēga no privātās;
  • Pievienota iespēja izmantot ā€œ-vā€ karodziņu ssh-keygen, veicot atslēgas uzmeklÄ“Å”anas darbÄ«bas (piemēram, ā€œssh-keygen -vF hostā€), norādot, kura rezultātā tiek iegÅ«ts vizuāls resursdatora paraksts;
  • Pievienota lietoÅ”anas iespēja PKCS8 kā alternatÄ«vu formātu privāto atslēgu glabāŔanai diskā. PEM formāts joprojām tiek izmantots pēc noklusējuma, un PKCS8 var bÅ«t noderÄ«gs, lai nodroÅ”inātu saderÄ«bu ar treÅ”o puÅ”u lietojumprogrammām.

Avots: opennet.ru

Pievieno komentāru