OpenSSH 9.6 kommer og korrigerer tre sikkerhetsproblemer, implementerer forbedringer og mer

Darkcrizt

4 minutter

openssh

OpenSSH er et sett med applikasjoner som tillater kryptert kommunikasjon over et nettverk, ved hjelp av SSH-protokollen.

Utgivelsen av den nye versjonen av OpenSSH 9.6 ble annonsert og denne versjonen inkluderer flere feilrettinger og inkluderer også noen nye funksjoner, flere ytelsesforbedringer og mer.

For de som ikke vet om OpenSSH (Open Secure Shell), bør du vite det dette er et sett med applikasjoner som tillater kryptert kommunikasjon over et nettverk ved hjelp av SSH-protokollen. Det ble opprettet som et gratis og åpent alternativ til Secure Shell-programmet, som er proprietær programvare.

De viktigste nye funksjonene i OpenSSH 9.6

I denne nye versjonen av OpenSSH 9.6 skiller den forenklede ProxyJump seg ut, ettersom erstatningen "%j" ble lagt til ssh, utvidet til det angitte vertsnavnet, samt forbedret gjenkjenning av ustabile eller ikke-støttede kompilatorflagg, som "-fzero-call-used-regs» i klang.

En annen endring som den nye versjonen presenterer er det Støtte for å konfigurere ChannelTimeout er lagt til ssh på klientsiden, som kan brukes til å avslutte inaktive kanaler.

I tillegg, i OpenSSH 9.6 Granulær kontroll av signaturalgoritmer introdusert, siden en protokollutvidelse ble lagt til til ssh og sshd for å reforhandle digitale signaturalgoritmer for offentlig nøkkelautentisering etter mottak av brukernavnet. Når du for eksempel bruker utvidelsen, kan du selektivt bruke andre algoritmer i forhold til brukerne du spesifiserer.

Det er også fremhevet at la til en protokollutvidelse til ssh-add og ssh-agent for å konfigurere sertifikater ved lasting av PKCS#11-nøkler, lo som lar sertifikater knyttet til PKCS#11 private nøkler brukes i alle OpenSSH-verktøy som støtter ssh-agent, ikke bare ssh.

Når det gjelder feilrettingene, nevnes det at følgende rettelser er inkludert:

  1. Løsning på sårbarhet i SSH-protokollen (CVE-2023-48795, Terrapin-angrep), som lar et MITM-angrep tilbakestille forbindelsen for å bruke mindre sikre autentiseringsalgoritmer og deaktivere beskyttelse mot sidekanalangrep som gjenskaper input ved å analysere forsinkelser mellom tastetrykk på tastaturet. Angrepsmetoden er beskrevet i en egen nyhetsartikkel.
  2. Løsning på sårbarhet i ssh-verktøyet som tillater substitusjon av vilkårlige skallkommandoer ved å manipulere påloggings- og vertsverdier som inneholder spesialtegn. Sårbarheten kan utnyttes hvis en angriper kontrollerer påloggings- og vertsnavnverdiene som sendes til ssh, ProxyCommand- og LocalCommand-direktivene, eller "match exec"-blokker som inneholder jokertegn som %u og %h. For eksempel kan feil pålogging og vert overstyres på systemer som bruker undermoduler i Git, siden Git ikke forbyr å spesifisere spesialtegn i vertsnavn og brukernavn. En lignende sårbarhet vises også i libssh.
  3. Løsning på feil i ssh-agent where, når du legger til PKCS#11 private nøkler, ble restriksjoner bare brukt på den første nøkkelen som ble returnert av PKCS#11-tokenet. Problemet påvirker ikke vanlige private nøkler, FIDO-tokens eller ubegrensede nøkler.

Av andre endringer som skiller seg ut av denne nye versjonen:

  • PubkeyAccepted Algoritmer i «Samsvar bruker»-blokken.
  • For å begrense rettighetene til sshd-prosessen, bruker OpenSolaris-versjoner som støtter getpflags()-grensesnittet PRIV_XPOLICY i stedet for PRIV_LIMIT.
  • Lagt til støtte for lesing av ED25519 private nøkler i PEM PKCS8-format for ssh, sshd, ssh-add og ssh-keygen (tidligere ble bare OpenSSH-formatet støttet).

Endelig hvis du er interessert i å vite mer om det om denne nye versjonen, kan du sjekke detaljene ved å gå til følgende lenke.

Hvordan installerer jeg OpenSSH 9.6 på Linux?

For de som er interessert i å kunne installere denne nye versjonen av OpenSSH på sine systemer, for nå kan de gjøre det laste ned kildekoden til dette og utføre samlingen på datamaskinene sine.

Dette er fordi den nye versjonen ennå ikke er inkludert i repositoriene til de viktigste Linux-distribusjonene. For å få kildekoden, kan du gjøre det fra følgende link.

Gjort nedlastingen, nå skal vi pakke ut pakken med følgende kommando:

tar -xvf openssh-9.6.tar.gz

Vi går inn i den opprettede katalogen:

cd openssh-9.6

Y vi kan kompilere med følgende kommandoer:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: AB Internet Networks 2008 SL
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.