Prohoster > Blog > tin tức mạng > Bản phát hành OpenSSH 8.1

Bản phát hành OpenSSH 8.1

Sau sáu tháng phát triển trình bày giải phóng OpenSSH 8.1, một triển khai máy khách và máy chủ mở để làm việc thông qua giao thức SSH 2.0 và SFTP.

Điểm đặc biệt chú ý trong bản phát hành mới là việc loại bỏ lỗ hổng ảnh hưởng đến ssh, sshd, ssh-add và ssh-keygen. Vấn đề tồn tại trong mã phân tích khóa riêng với loại XMSS và cho phép kẻ tấn công kích hoạt tràn số nguyên. Lỗ hổng này được đánh dấu là có thể khai thác được nhưng ít được sử dụng vì hỗ trợ khóa XMSS là một tính năng thử nghiệm bị tắt theo mặc định (phiên bản di động thậm chí không có tùy chọn xây dựng trong autoconf để bật XMSS).

Sự thay đổi chính:

  • Trong ssh, sshd và ssh-agent thêm mã ngăn chặn việc khôi phục khóa riêng nằm trong RAM do các cuộc tấn công kênh bên, chẳng hạn như Bóng ma, tan chảy, hàngbúa и chảy máu RAM. Khóa riêng hiện được mã hóa khi tải vào bộ nhớ và chỉ được giải mã khi sử dụng, vẫn được mã hóa trong thời gian còn lại. Với phương pháp này, để khôi phục thành công khóa riêng, trước tiên kẻ tấn công phải khôi phục khóa trung gian được tạo ngẫu nhiên có kích thước 16 KB, được sử dụng để mã hóa khóa chính, điều này khó có thể xảy ra do tỷ lệ lỗi khôi phục điển hình của các cuộc tấn công hiện đại;
  • В ssh-keygen Đã thêm hỗ trợ thử nghiệm cho sơ đồ đơn giản hóa để tạo và xác minh chữ ký số. Chữ ký số có thể được tạo bằng cách sử dụng các khóa SSH thông thường được lưu trữ trên đĩa hoặc trong tác nhân ssh và được xác minh bằng cách sử dụng một cái gì đó tương tự như ủy quyền danh sách các khóa hợp lệ. Thông tin không gian tên được tích hợp vào chữ ký số để tránh nhầm lẫn khi sử dụng ở các khu vực khác nhau (ví dụ: đối với email và tệp);
  • ssh-keygen theo mặc định đã được chuyển sang sử dụng thuật toán rsa-sha2-512 khi xác thực chứng chỉ bằng chữ ký số dựa trên khóa RSA (khi làm việc ở chế độ CA). Các chứng chỉ như vậy không tương thích với các bản phát hành trước OpenSSH 7.2 (để đảm bảo tính tương thích, loại thuật toán phải được ghi đè, chẳng hạn bằng cách gọi "ssh-keygen -t ssh-rsa -s ...");
  • Trong ssh, biểu thức ProxyCommand hiện hỗ trợ mở rộng thay thế "%n" (tên máy chủ được chỉ định trong thanh địa chỉ);
  • Trong danh sách các thuật toán mã hóa cho ssh và sshd, giờ đây bạn có thể sử dụng ký tự "^" để chèn các thuật toán mặc định. Ví dụ: để thêm ssh-ed25519 vào danh sách mặc định, bạn có thể chỉ định "HostKeyAlgorithms ^ssh-ed25519";
  • ssh-keygen cung cấp đầu ra của nhận xét gắn liền với khóa khi trích xuất khóa chung từ khóa riêng;
  • Đã thêm khả năng sử dụng cờ “-v” trong ssh-keygen khi thực hiện các thao tác tra cứu khóa (ví dụ: “ssh-keygen -vF Host”), chỉ định kết quả nào dẫn đến chữ ký máy chủ trực quan;
  • Đã thêm khả năng sử dụng PKCS8 như một định dạng thay thế để lưu trữ khóa riêng trên đĩa. Định dạng PEM tiếp tục được sử dụng theo mặc định và PKCS8 có thể hữu ích để đạt được khả năng tương thích với các ứng dụng của bên thứ ba.

Nguồn: opennet.ru

Thêm một lời nhận xét