ПроХостер > блог > интернет вести > ОпенССХ 8.5 издање

ОпенССХ 8.5 издање

Након пет месеци развоја, представљено је издање ОпенССХ 8.5, отворене имплементације клијента и сервера за рад преко ССХ 2.0 и СФТП протокола.

Програмери ОпенССХ-а су нас подсетили на предстојеће укидање алгоритама који користе СХА-1 хешове због повећане ефикасности колизијских напада са датим префиксом (цена избора колизије се процењује на приближно 50 хиљада долара). У једном од наредних издања планирају да подразумевано онемогуће могућност коришћења алгоритма за дигитални потпис јавног кључа „ссх-рса“, који се помиње у оригиналном РФЦ-у за ССХ протокол и остаје широко распрострањен у пракси.

Да бисте тестирали употребу ссх-рса на вашим системима, можете покушати да се повежете преко ссх-а са опцијом „-оХостКеиАлгоритхмс=-ссх-рса“. Истовремено, подразумевано онемогућавање дигиталних потписа „ссх-рса“ не значи потпуно одустајање од употребе РСА кључева, јер поред СХА-1, ССХ протокол дозвољава коришћење других алгоритама за израчунавање хеша. Конкретно, поред „ссх-рса“, остаће могуће користити пакете „рса-сха2-256“ (РСА/СХА256) и „рса-сха2-512“ (РСА/СХА512).

Да би се олакшао прелазак на нове алгоритме, ОпенССХ 8.5 има подразумевано омогућену поставку УпдатеХостКеис, што омогућава клијентима да аутоматски пређу на поузданије алгоритме. Користећи ово подешавање, омогућена је посебна екстензија протокола “[емаил заштићен]“, омогућавајући серверу, након аутентификације, да обавести клијента о свим доступним кључевима хоста. Клијент може да одражава ове кључеве у својој ~/.ссх/кновн_хостс датотеци, што омогућава ажурирање кључева хоста и олакшава промену кључева на серверу.

Употреба УпдатеХостКеис-а је ограничена са неколико упозорења која могу бити уклоњена у будућности: кључ мора бити референциран у УсерКновнХостсФиле-у и не мора се користити у ГлобалКновнХостсФиле-у; кључ мора бити присутан само под једним именом; не треба користити сертификат кључа домаћина; у познатим_хостовима не треба користити маске по имену хоста; поставка ВерифиХостКеиДНС мора бити онемогућена; Параметар УсерКновнХостсФиле мора бити активан.

Препоручени алгоритми за миграцију укључују рса-сха2-256/512 заснован на РФЦ8332 РСА СХА-2 (подржан од ОпенССХ 7.2 и користи се подразумевано), ссх-ед25519 (подржан од ОпенССХ 6.5) и заснован на ецдса-сха2-нистп256/384 на РФЦ521 ЕЦДСА (подржано од ОпенССХ 5656).

Остале промене:

  • Безбедносне промене:
    • Рањивост узрокована поновним ослобађањем већ ослобођене меморијске области (доубле-фрее) је исправљена у ссх-агент-у. Проблем је присутан од издавања ОпенССХ 8.2 и потенцијално се може искористити ако нападач има приступ утичници ссх-агента на локалном систему. Оно што отежава експлоатацију је то што само роот и оригинални корисник имају приступ сокету. Највероватнији сценарио напада је да је агент преусмерен на налог који контролише нападач, или на хост где нападач има роот приступ.
    • ссхд је додао заштиту од прослеђивања веома великих параметара са корисничким именом у ПАМ подсистем, што вам омогућава да блокирате рањивости у системским модулима ПАМ (Плуггабле Аутхентицатион Модуле). На пример, промена спречава да се ссхд користи као вектор за искоришћавање недавно откривене роот рањивости у Соларису (ЦВЕ-2020-14871).
  • Потенцијално кварне промене компатибилности:
    • В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо [емаил заштићен] метод теперь идентифицируется как [емаил заштићен] (алгоритам снтруп4591761 је замењен снтруп761).
    • У ссх и ссхд, редослед којим се објављују подржани алгоритми дигиталног потписа је промењен. ЕД25519 се сада нуди први уместо ЕЦДСА.
    • У ссх и ссхд, подешавање ТОС/ДСЦП параметара квалитета услуге за интерактивне сесије се сада врши пре успостављања ТЦП везе.
    • Подршка за шифрирање је укинута у ссх и ссхд [емаил заштићен], који је идентичан аес256-цбц и коришћен је пре него што је одобрен РФЦ-4253.
    • Подразумевано, параметар ЦхецкХостИП је онемогућен, чија је корист занемарљива, али његова употреба значајно компликује ротацију кључа за хостове иза балансера оптерећења.
  • ПерСоурцеМакСтартупс и ПерСоурцеНетБлоцкСизе подешавања су додата у ссхд да би се ограничио интензитет покретања руковалаца на основу адресе клијента. Ови параметри вам омогућавају да прецизније контролишете ограничење покретања процеса у поређењу са општим МакСтартупс поставком.
  • Нова поставка ЛогВербосе је додата у ссх и ссхд, која вам омогућава да на силу подигнете ниво информација за отклањање грешака које се бацају у дневник, уз могућност филтрирања према шаблонима, функцијама и датотекама.
  • У ссх-у, када прихватате нови кључ домаћина, приказују се сва имена хостова и ИП адресе повезане са кључем.
  • ссх дозвољава опцију УсерКновнХостсФиле=ноне да онемогући употребу датотеке кновн_хостс приликом идентификовања кључева хоста.
  • Поставка КновнХостсЦомманд је додата у ссх_цонфиг за ссх, омогућавајући вам да добијете податке кновн_хостс из излаза наведене команде.
  • Додата опција ПермитРемотеОпен у ссх_цонфиг за ссх да би вам омогућила да ограничите одредиште када користите опцију РемотеФорвард са СОЦКС.
  • У ссх за ФИДО кључеве, поновљени ПИН захтев је обезбеђен у случају неуспеха операције дигиталног потписа због нетачног ПИН-а и од корисника није затражен ПИН (на пример, када се не могу добити исправни биометријски подаци и уређај се вратио на ручно унос ПИН-а).
  • ссхд додаје подршку за додатне системске позиве механизму за изолацију процеса заснованом на сеццомп-бпф на Линук-у.
  • Услужни програм цонтриб/ссх-цопи-ид је ажуриран.

Извор: опеннет.ру

Додај коментар