OpenSSH 8.5 version

Efter fem månaders utveckling presenteras releasen av OpenSSH 8.5, en öppen implementering av en klient och server för att arbeta över SSH 2.0- och SFTP-protokollen.

OpenSSH-utvecklarna påminde oss om den kommande avvecklingen av algoritmer som använder SHA-1-hashar på grund av den ökade effektiviteten av kollisionsattacker med ett givet prefix (kostnaden för att välja en kollision uppskattas till cirka $50 tusen). I en av de kommande utgåvorna planerar de att som standard inaktivera möjligheten att använda "ssh-rsa" digitala signaturalgoritmen för offentlig nyckel, som nämns i den ursprungliga RFC för SSH-protokollet och som fortfarande är utbredd i praktiken.

För att testa användningen av ssh-rsa på dina system kan du försöka ansluta via ssh med alternativet "-oHostKeyAlgorithms=-ssh-rsa". Samtidigt innebär att inaktivera "ssh-rsa" digitala signaturer som standard inte ett fullständigt övergivande av användningen av RSA-nycklar, eftersom förutom SHA-1 tillåter SSH-protokollet användningen av andra hashberäkningsalgoritmer. I synnerhet, förutom "ssh-rsa", kommer det att förbli möjligt att använda paketen "rsa-sha2-256" (RSA/SHA256) och "rsa-sha2-512" (RSA/SHA512).

För att underlätta övergången till nya algoritmer inkluderar OpenSSH 8.5 inställningen UpdateHostKeys, som automatiskt migrerar klienter till säkrare algoritmer. Denna inställning aktiverar ett speciellt protokolltillägg, "hostkeys@openssh.com", vilket gör att servern kan informera klienten om alla tillgängliga värdnycklar efter autentisering. Klienten kan lagra dessa nycklar i sin ~/.ssh/known_hosts-fil, vilket möjliggör uppdateringar av värdnycklar och förenklar nyckelrotation. server.

Användningen av UpdateHostKeys begränsas av flera varningar som kan tas bort i framtiden: nyckeln måste refereras till i UserKnownHostsFile och inte användas i GlobalKnownHostsFile; nyckeln måste finnas under endast ett namn; ett värdnyckelcertifikat ska inte användas; i kända_värdar ska masker efter värdnamn inte användas; VerifyHostKeyDNS-inställningen måste vara inaktiverad; UserKnownHostsFile-parametern måste vara aktiv.

Rekommenderade algoritmer för migrering inkluderar rsa-sha2-256/512 baserad på RFC8332 RSA SHA-2 (stöds sedan OpenSSH 7.2 och används som standard), ssh-ed25519 (stöds sedan OpenSSH 6.5) och ecdsa-sha2-nistp256/384 baserat på RFC521 ECDSA (stöds sedan OpenSSH 5656).

Andra ändringar:

• Säkerhetsförändringar:
  • En sårbarhet orsakad av att frigöra ett redan frigjort minnesområde (dubbelfritt) har åtgärdats i ssh-agent. Problemet har funnits sedan lanseringen av OpenSSH 8.2 och kan potentiellt utnyttjas om en angripare har tillgång till ssh-agent-socket på det lokala systemet. Det som försvårar exploateringen är att endast root och den ursprungliga användaren har tillgång till socket. Det mest troliga attackscenariot är att agenten omdirigeras till ett konto som kontrolleras av angriparen, eller till en värd där angriparen har root-åtkomst.
  • sshd har lagt till skydd mot att skicka mycket stora parametrar med användarnamnet till PAM-undersystemet, vilket gör att du kan blockera sårbarheter i PAM-systemmodulerna (Pluggable Authentication Module). Till exempel förhindrar ändringen att sshd används som en vektor för att utnyttja en nyligen upptäckt rotsårbarhet i Solaris (CVE-2020-14871).
• Potentiellt brytande kompatibilitetsändringar:
  • ssh och sshd har omdesignats med en experimentell kvantresistent nyckelutbytesmetod. Kvantdatorer är mycket snabbare på att lösa problemet med att faktorisera ett naturligt tal till primfaktorer, vilket är grunden för moderna asymmetriska krypteringsalgoritmer och inte kan lösas effektivt på klassiska processorer. Metoden som används är baserad på NTRU Prime-algoritmen som utvecklats för postkvantumkryptosystem och X25519-metoden för nyckelutbyte med elliptisk kurva. Istället för sntrup4591761x25519-sha512@tinyssh.org identifieras metoden nu som sntrup761x25519-sha512@openssh.com (algoritmen sntrup4591761 har ersatts av sntrup761).
  • I ssh och sshd har ordningen i vilken stödda digitala signaturalgoritmer meddelas ändrats. ED25519 erbjuds nu först istället för ECDSA.
  • I ssh och sshd görs nu inställning av TOS/DSCP-kvalitet för tjänsteparametrar för interaktiva sessioner innan en TCP-anslutning upprättas.
  • ssh och sshd har slutat stödja rijndael-cbc@lysator.liu.se-chiffret, vilket är identiskt med aes256-cbc och användes före RFC-4253.
  • Som standard är CheckHostIP-parametern inaktiverad, vars fördel är försumbar, men dess användning komplicerar avsevärt nyckelrotation för värdar bakom lastbalanserare.
• Inställningarna PerSourceMaxStartups och PerSourceNetBlockSize har lagts till i sshd för att begränsa intensiteten för att starta hanterare baserat på klientadressen. Dessa parametrar låter dig kontrollera gränsen för processstarter bättre än den allmänna MaxStartups-inställningen.
• En ny LogVerbose-inställning har lagts till i ssh och sshd, vilket gör att du kraftfullt kan höja nivån av felsökningsinformation som dumpas i loggen, med möjligheten att filtrera efter mallar, funktioner och filer.
• I SSH, när en ny värdnyckel accepteras, visas alla värdnamn och IP-adresser, associerad med nyckeln.
• ssh tillåter alternativet UserKnownHostsFile=ingen att inaktivera användningen av filen known_hosts vid identifiering av värdnycklar.
• En KnownHostsCommand-inställning har lagts till i ssh_config för ssh, vilket gör att du kan hämta known_hosts-data från utdata från det angivna kommandot.
• Lade till ett PermitRemoteOpen-alternativ till ssh_config för ssh så att du kan begränsa destinationen när du använder alternativet RemoteForward med SOCKS.
• I ssh för FIDO-nycklar tillhandahålls en upprepad PIN-begäran i händelse av ett fel på den digitala signaturen på grund av en felaktig PIN-kod och användaren inte uppmanas att ange en PIN-kod (till exempel när korrekt biometrisk data inte kunde erhållas och enheten gick tillbaka till manuell PIN-inmatning).
• I sshd, den seccomp-bpf-baserade processisoleringsmekanismen på plattformen Linux Lade till stöd för ytterligare systemanrop.
• Verktyget contrib/ssh-copy-id har uppdaterats.

Källa: opennet.ru