OpenSSH 9.6 пристига, като коригира три проблема със сигурността, внедрява подобрения и много повече

Darkcrizt

4 Minutos

OpenSSH

OpenSSH е набор от приложения, които позволяват криптирана комуникация през мрежа, използвайки SSH протокола.

Пускането на новата версия на OpenSSH 9.6 беше обявено и тази версия включва няколко корекции на грешки, а също така включва някои нови функции, няколко подобрения на производителността и други.

За тези, които не са наясно с OpenSSH (Open Secure Shell), трябва да знаят това това е набор от приложения, които позволяват криптирана комуникация през мрежа, използвайки SSH протокола. Създаден е като безплатна и отворена алтернатива на програмата Secure Shell, която е патентован софтуер.

Основни нови функции на OpenSSH 9.6

В тази нова версия на OpenSSH 9.6 опростеният ProxyJump се откроява, тъй като заместването "%j" беше добавено към ssh, разширявайки се до посоченото име на хост, както и подобрено откриване на нестабилни или неподдържани флагове на компилатор, като "-fzero-call-used-regs» в звън.

Друга промяна, която представя новата версия, е тази Към ssh е добавена поддръжка за конфигуриране на ChannelTimeout от страна на клиента, което може да се използва за прекратяване на неактивни канали.

В допълнение, в OpenSSH 9.6 Въведен е подробен контрол на алгоритмите за подписване, тъй като е добавено разширение на протокола към ssh и sshd за предоговаряне на алгоритми за цифров подпис за удостоверяване с публичен ключ след получаване на потребителското име. Например, когато използвате разширението, можете избирателно да използвате други алгоритми по отношение на потребителите, които посочите.

Също така се подчертава, че добави разширение на протокол към ssh-add и ssh-agent за конфигуриране на сертификати при зареждане на PKCS#11 ключове, lo което позволява сертификати, свързани с частни ключове PKCS#11, да се използват във всички помощни програми на OpenSSH, които поддържат ssh-agent, не само ssh.

По отношение на корекциите на грешки се споменава, че са включени следните корекции:

  1. Решение на уязвимост в SSH протокола (CVE-2023-48795, Terrapin атака), което позволява MITM атака да върне връзката, за да използва по-малко сигурни алгоритми за удостоверяване и да деактивира защитата срещу странични канални атаки, които пресъздават въвеждане чрез анализиране на закъсненията между натисканията на клавишите на клавиатурата. Методът на атака е описан в отделна новинарска статия.
  2. Решение на уязвимост в помощната програма ssh, която позволява заместване на произволни команди на обвивката чрез манипулиране на стойности за вход и хост, които съдържат специални знаци. Уязвимостта може да бъде използвана, ако атакуващ контролира стойностите за вход и име на хост, предадени на ssh, директивите ProxyCommand и LocalCommand или блокове „match exec“, които съдържат заместващи знаци като %u и %h. Например грешното влизане и хост могат да бъдат отменени на системи, които използват подмодули в Git, тъй като Git не забранява указването на специални знаци в имена на хостове и потребителски имена. Подобна уязвимост се появява и в libssh.
  3. Решение за грешка в ssh-agent където, при добавяне на частни ключове PKCS#11, ограниченията бяха приложени само към първия ключ, върнат от токена PKCS#11. Проблемът не засяга обикновените частни ключове, токените FIDO или неограничените ключове.

От други промени, които се открояват на тази нова версия:

  • PubkeyAcceptedAlgorithms в блока „Съвпадение на потребителя“.
  • За да ограничат привилегиите на sshd процеса, версиите на OpenSolaris, които поддържат интерфейса getpflags(), използват PRIV_XPOLICY вместо PRIV_LIMIT.
  • Добавена е поддръжка за четене на частни ключове ED25519 във формат PEM PKCS8 за ssh, sshd, ssh-add и ssh-keygen (преди се поддържаше само форматът OpenSSH).

Накрая ако се интересувате да научите повече за това за тази нова версия можете да проверите подробностите като отидете на следната връзка.

Как да инсталирам OpenSSH 9.6 на Linux?

За тези, които се интересуват от възможността да инсталират тази нова версия на OpenSSH на своите системи, засега те могат да го направят изтегляне на изходния код на това и извършване на компилацията на техните компютри.

Това е така, защото новата версия все още не е включена в хранилищата на основните дистрибуции на Linux. За да получите изходния код, можете да направите от Следваща връзка.

Извършено изтегляне, сега ще разархивираме пакета със следната команда:

tar -xvf openssh-9.6.tar.gz

Въвеждаме създадената директория:

cd openssh-9.6

Y можем да компилираме с следните команди:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install