Hat hónap fejlesztés után Bejelentették az OpenSSH 8.9 kiadását, amiben javítsd ki az sshd sebezhetőségét amely potenciálisan hitelesítés nélküli hozzáférést tesz lehetővé. A problémát a hitelesítési kód egész szám túlcsordulása okozza, de a kihasználás csak a kód egyéb logikai hibáival együtt lehetséges.
Jelenlegi formájában a biztonsági rést nem lehet kihasználni, ha a jogosultságok megosztása engedélyezett, mivel megnyilvánulását a jogosultságmegosztás követőkódján végzett külön ellenőrzések blokkolják.
A megosztott jogosultsági mód alapértelmezés szerint 2002-ben volt engedélyezve az OpenSSH 3.2.2-től, és az OpenSSH 2017 7.5-es kiadása óta szükséges. Ezenkívül az OpenSSH 6.5-ös verziója (2014) óta az OpenSSH hordozható verzióiban a sérülékenység blokkolása az egész számok túlcsordulása elleni védjegyek beépítésével történik.
Az OpenSSH 8.9 fő újdonságai
Ebben az új verzióban, amelyet bemutatunk, azt találjuk, hogy lAz OpenSSH hordozható verziója eltávolítja a beépített sshd támogatást jelszó-kivonatoláshoz az MD5 algoritmus használatával (a külső könyvtárakhoz, például a libxcrypthez való újrahivatkozás megengedett)
Az ssh, sshd, ssh-add és ssh-agent alrendszert valósít meg az ssh-agenthez hozzáadott kulcsok továbbításának és használatának korlátozására.
Az alrendszer lehetővé teszi olyan szabályok beállítását, amelyek meghatározzák, hogyan és hol használhatók a kulcsok az ssh-agentben. Például egy kulcs hozzáadásához, amely csak akkor használható hitelesítésre, ha bármely felhasználó csatlakozik a scylla.example.org gazdagéphez, a user perseus a cetus.example.org gazdagéphez, a medea felhasználó pedig a charybdis.example .org gazdagéphez csatlakozik, átirányítás egy köztes scylla.example.org gazdagépen keresztül.
En ssh és sshd, a KexAlgorithms lista, amely meghatározza a kulcscsere módszerek kiválasztásának sorrendjét, alapértelmezés szerint hozzáadta az „sntrup761x25519-sha512@openssh.com” hibrid algoritmust» (ECDH/x25519 + NTRU Prime), amely ellenáll a kvantumszámítógépek szelekciójának. Az OpenSSH 8.9-ben ez az egyeztetési módszer bekerült az ECDH és a DH metódusok közé, de a tervek szerint a következő kiadásban alapértelmezés szerint engedélyezni fogják.
Az ssh-keygen, ssh és ssh-agent javította a FIDO token kulcsok kezelését eszközök ellenőrzésére használják, beleértve a biometrikus hitelesítés kulcsait.
Az új verzióban kiemelkedő többi változás közül:
- Az "ssh-keygen -Y match-principals" parancs hozzáadva az ssh-keygenhez a felhasználónevek ellenőrzéséhez egy fájlban az engedélyezett nevek listájával.
- Az ssh-add és az ssh-agent lehetővé teszik PIN-kóddal védett FIDO-kulcsok hozzáadását az ssh-agenthez (a hitelesítéskor megjelenik egy PIN kód).
- Az ssh-keygen lehetővé teszi a hash algoritmus (sha512 vagy sha256) kiválasztását az aláírás során.
A teljesítmény javítása érdekében az ssh és az sshd közvetlenül a bejövő csomagok pufferébe olvassa be a hálózati adatokat, megkerülve a veremben lévő köztes puffert. Hasonló módon valósul meg a vett adatok közvetlen elhelyezése a csatornapufferben. - Az ssh-ban a PubkeyAuthentication direktíva kibővítette a támogatott paraméterek listáját (yes|no|unbound|host-bound), hogy lehetővé tegye a használni kívánt protokollbővítmény kiválasztását.
Egy jövőbeli verzióban a tervek szerint módosítani fogják az scp segédprogramot alapértelmezés szerint az SFTP-t használja az örökölt SCP/RCP protokoll helyett. Az SFTP kiszámíthatóbb névkezelési módszereket használ, és nem használja a glob-minták shell-feldolgozását a gazdagép másik oldalán lévő fájlneveken, ami biztonsági problémákat okoz.
Különösen SCP és RCP használatakor a szerver dönti el, hogy mely fájlokat és könyvtárakat küldje el a kliensnek, a kliens pedig csak a visszaküldött objektumok nevének helyességét ellenőrzi, ami a kliens megfelelő ellenőrzésének hiányában lehetővé teszi. hogy a szerver más, a kért fájlnevektől eltérő fájlneveket is átvigyen. Az SFTP protokoll nem rendelkezik ilyen problémákkal, de nem támogatja a speciális elérési utak kiterjesztését, mint például a "~/
Végül ha érdekel, hogy többet tudjon meg róla erről az új verzióról ellenőrizheti a részleteket a következő linkre kattintva.
Hogyan telepítsem az OpenSSH 8.9-et Linuxra?
Azok számára, akik érdeklődnek az OpenSSH új verziójának telepítése iránt, egyelőre megtehetik ennek forráskódjának letöltése és az összeállítás elvégzése a számítógépeiken.
Az új verzió ugyanis még nem került be a fő Linux disztribúciók tárházába. A forráskód megszerzéséhez megteheti a alábbi linkre.
Kész a letöltés, most kibontjuk a csomagot a következő paranccsal:
tar -xvf openssh-8.9.tar.gz
Belépünk a létrehozott könyvtárba:
cd openssh-8.9
Y összeállíthatjuk a következő parancsokat:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install