ProHoster > Blog > warta internét > OpenSSH 8.5 release

OpenSSH 8.5 release

Saatos pangwangunan lima bulan, sékrési OpenSSH 8.5, palaksanaan kabuka pikeun klien sareng server pikeun ngerjakeun protokol SSH 2.0 sareng SFTP.

Pamekar OpenSSH ngingetkeun kami ngeunaan decommissioning algoritma anu bakal datang nganggo hashes SHA-1 kusabab paningkatan efisiensi serangan tabrakan kalayan awalan anu dipasihkeun (biaya pikeun milih tabrakan diperkirakeun sakitar $ 50 rébu). Dina salah sahiji release upcoming, aranjeunna rencanana mareuman sacara standar kamampuhan pikeun ngagunakeun "ssh-rsa" konci umum algoritma signature digital, nu disebutkeun dina RFC aslina keur protokol SSH sarta tetep nyebar dina praktekna.

Pikeun nguji pamakean ssh-rsa dina sistem anjeun, anjeun tiasa nyobian nyambungkeun via ssh nganggo pilihan "-oHostKeyAlgorithm=-ssh-rsa". Dina waktu nu sarua, nganonaktipkeun "ssh-rsa" tanda tangan digital sacara standar henteu hartosna a abandonment lengkep pamakéan konci RSA, saprak salian SHA-1, protokol SSH ngamungkinkeun pamakéan algoritma itungan Hash séjén. Khususna, salian "ssh-rsa", bakal tetep tiasa nganggo bundel "rsa-sha2-256" (RSA / SHA256) sareng "rsa-sha2-512" (RSA / SHA512).

Pikeun ngalancarkeun transisi ka algoritma anyar, OpenSSH 8.5 gaduh setelan UpdateHostKeys diaktipkeun sacara standar, anu ngamungkinkeun para klien sacara otomatis ngalih ka algoritma anu langkung dipercaya. Ngagunakeun setelan ieu, ekstensi protokol husus diaktipkeun "[email dijaga]", ngamungkinkeun server, sanggeus auténtikasi, pikeun nginpokeun ka klien ngeunaan sagala konci host sadia. Klién tiasa ngagambarkeun konci ieu dina file ~/.ssh/known_hosts na, anu ngamungkinkeun konci host diropéa sareng ngagampangkeun ngarobih konci dina server.

Pamakéan UpdateHostKeys diwatesan ku sababaraha caveats nu bisa dihapus dina mangsa nu bakal datang: konci kudu referenced dina UserKnownHostsFile sarta henteu dipaké dina GlobalKnownHostsFile; konci kudu hadir dina ngan hiji ngaran; sertipikat konci host henteu kedah dianggo; dina masker known_hosts ku ngaran host henteu kedah dianggo; setelan VerifyHostKeyDNS kudu ditumpurkeun; Parameter UserKnownHostsFile kedah aktip.

Algoritma anu disarankeun pikeun migrasi kalebet rsa-sha2-256/512 dumasar kana RFC8332 RSA SHA-2 (dirojong saprak OpenSSH 7.2 sareng dianggo sacara standar), ssh-ed25519 (dirojong saprak OpenSSH 6.5) sareng ecdsa-sha2-nistp256/384/521. on RFC5656 ECDSA (dirojong saprak OpenSSH 5.7).

Parobahan séjén:

  • Parobahan kaamanan:
    • A kerentanan disababkeun ku ulang freeing wewengkon memori geus dibébaskeun (ganda-gratis) geus dibereskeun dina ssh-agén. Masalahna parantos aya ti saprak sékrési OpenSSH 8.2 sareng berpotensi tiasa dieksploitasi upami panyerang ngagaduhan aksés kana stop kontak ssh-agén dina sistem lokal. Anu ngajadikeun eksploitasi langkung hese nyaéta ngan ukur akar sareng pangguna asli anu gaduh aksés kana stop kontak. Skenario serangan anu paling dipikaresep nyaéta yén agén dialihkeun ka akun anu dikontrol ku panyerang, atanapi ka host dimana panyerang gaduh aksés root.
    • sshd parantos nambihan panyalindungan ngalawan ngalangkungan parameter anu ageung pisan sareng nami pangguna ka subsistem PAM, anu ngamungkinkeun anjeun pikeun meungpeuk kerentanan dina modul sistem PAM (Pluggable Authentication Module). Salaku conto, parobihan éta nyegah sshd dianggo salaku véktor pikeun ngamangpaatkeun kerentanan akar anu nembé kapanggih di Solaris (CVE-2020-14871).
  • Parobahan kasaluyuan berpotensi megatkeun:
    • Dina ssh jeung sshd, métode bursa konci eksperimen geus redesigned nu tahan ka guessing dina komputer kuantum. Komputer kuantum sacara radikal leuwih gancang dina ngarengsekeun masalah decomposing hiji angka alam jadi faktor prima, nu underlies algoritma enkripsi asimétri modern jeung teu bisa éféktif direngsekeun dina prosesor klasik. Métode anu digunakeun dumasar kana algoritma NTRU Prime, dikembangkeun pikeun kriptosistem pos-kuantum, sareng metode pertukaran konci kurva elliptic X25519. Sabalikna [email dijaga] métode ayeuna diidentifikasi minangka [email dijaga] (algoritma sntrup4591761 geus diganti ku sntrup761).
    • Dina ssh sareng sshd, urutan anu dirojong algoritma tanda tangan digital diumumkeun parantos dirobih. ED25519 ayeuna ditawarkeun kahiji tinimbang ECDSA.
    • Dina ssh sareng sshd, netepkeun kualitas TOS / DSCP parameter jasa pikeun sesi interaktif ayeuna dilakukeun sateuacan ngadamel sambungan TCP.
    • Pangrojong cipher parantos dileungitkeun dina ssh sareng sshd [email dijaga], nu idéntik jeung aes256-cbc sarta dipaké saméméh RFC-4253 disatujuan.
    • Sacara standar, parameter CheckHostIP ditumpurkeun, anu manfaatna diabaikan, tapi pamakeanna sacara signifikan nyusahkeun rotasi konci pikeun host tukangeun kasaimbangan beban.
  • Setelan PerSourceMaxStartups jeung PerSourceNetBlockSize geus ditambahkeun kana sshd pikeun ngawatesan inténsitas launching pawang dumasar kana alamat klien. Parameter ieu ngidinan Anjeun pikeun leuwih finely ngadalikeun wates dina ngajalankeun prosés, dibandingkeun jeung setelan MaxStartups umum.
  • Setelan LogVerbose anyar geus ditambahkeun kana ssh na sshd, nu ngidinan Anjeun pikeun forcefully ngangkat tingkat informasi debugging dumped kana log, kalawan kamampuhan pikeun nyaring ku témplat, fungsi jeung file.
  • Dina ssh, nalika nampi konci host énggal, sadaya hostnames sareng alamat IP anu aya hubunganana sareng konci éta ditampilkeun.
  • ssh ngamungkinkeun UserKnownHostsFile=euweuh pilihan pikeun nganonaktipkeun pamakean file known_hosts nalika ngaidentipikasi konci host.
  • Setélan KnownHostsCommand geus ditambahkeun kana ssh_config pikeun ssh, ngamungkinkeun Anjeun pikeun meunangkeun data known_hosts tina kaluaran paréntah nu tangtu.
  • Ditambahkeun pilihan PermitRemoteOpen ka ssh_config pikeun ssh pikeun ngamungkinkeun anjeun ngawatesan tujuan nalika nganggo pilihan RemoteForward sareng SOCKS.
  • Dina ssh pikeun konci FIDO, pamundut PIN anu diulang-ulang disayogikeun upami gagal operasi tanda tangan digital kusabab PIN anu salah sareng pangguna henteu dipenta pikeun PIN (contona, nalika data biometrik anu leres henteu tiasa dicandak sareng alat murag deui ka éntri PIN manual).
  • sshd nambihan dukungan pikeun sauran sistem tambahan kana mékanisme isolasi prosés basis seccomp-bpf dina Linux.
  • Utiliti contrib/ssh-copy-id parantos diropéa.

sumber: opennet.ru

Tambahkeun komentar