Desde Linux Darkcrizt  

OpenSSH 8.5 llega con UpdateHostKeys, correcciones y mas

Luego de cinco meses de desarrollo, se presenta el lanzamiento de OpenSSH 8.5 junto con el cual los desarrolladores de OpenSSH recordaron la próxima transferencia a la categoría de algoritmos obsoletos que utilizan hashes SHA-1, debido a la mayor eficiencia de los ataques de colisión con un prefijo determinado (el costo de la selección de colisión se estima en unos 50 mil dólares).

En una de las próximas versiones, planean deshabilitar por defecto la capacidad de usar el algoritmo de firma digital de clave pública «ssh-rsa», que se menciona en el RFC original para el protocolo SSH y sigue estando muy extendido en la práctica.

Para suavizar la transición a nuevos algoritmos en OpenSSH 8.5, la configuración UpdateHostKeys está habilitada de forma predeterminada, lo que permite cambiar automáticamente los clientes a algoritmos más confiables.

Esta configuración habilita una extensión de protocolo especial «hostkeys@openssh.com», que permite al servidor, después de pasar la autenticación, informar al cliente sobre todas las claves de host disponibles. El cliente puede reflejar estas claves en su archivo ~/.ssh/known_hosts, lo que permite organizar las actualizaciones de claves de host y facilita el cambio de claves en el servidor.

Por otra parte, se corrigió una vulnerabilidad causada por volver a liberar un área de memoria ya liberada en ssh-agent. El problema ha sido evidente desde el lanzamiento de OpenSSH 8.2 y podría potencialmente explotarse si el atacante tiene acceso al socket del agente ssh en el sistema local. Para complicar las cosas, solo el root y el usuario original tienen acceso al socket. El escenario más probable de un ataque es redirigir al agente a una cuenta controlada por el atacante, oa un host en el que el atacante tiene acceso de root.

Además, sshd ha agregado protección contra el paso de parámetros muy grandes con un nombre de usuario al subsistema PAM, lo que permite bloquear vulnerabilidades en los módulos del sistema PAM (Pluggable Authentication Module). Por ejemplo, el cambio evita que sshd se utilice como vector para explotar una vulnerabilidad raíz identificada recientemente en Solaris (CVE-2020-14871).

Por la parte de los cambios que potencialmente rompen la compatibilidad se menciona que ssh y sshd han reelaborado un método de intercambio de claves experimental que es resistente a los ataques de fuerza bruta en una computadora cuántica.

El método utilizado se basa en el algoritmo NTRU Prime desarrollado para criptosistemas post-cuánticos y el método de intercambio de claves de curva elíptica X25519. En lugar de sntrup4591761x25519-sha512@tinyssh.org, el método ahora se identifica como sntrup761x25519-sha512@openssh.com (el algoritmo sntrup4591761 se reemplazó por sntrup761).

De los demás cambios que se destacan:

  • En ssh y sshd, se ha cambiado el orden de anunciar los algoritmos de firma digital compatibles. El primero es ahora el ED25519 en lugar de ECDSA.
  • En ssh y sshd, la configuración de calidad de servicio de TOS / DSCP para sesiones interactivas ahora se establece antes de establecer una conexión TCP.
  • Ssh y sshd han dejado de admitir el cifrado rijndael-cbc@lysator.liu.se, que es idéntico al aes256-cbc y se usaba antes de RFC-4253.
  • Ssh, al aceptar una nueva clave de host, garantiza que se muestren todos los nombres de host y las direcciones IP asociadas con la clave.
  • En ssh para claves FIDO, se proporciona una solicitud de PIN repetida en caso de una falla en la operación de firma digital debido a un PIN incorrecto y la falta de una solicitud de PIN por parte del usuario (por ejemplo, cuando no fue posible obtener datos biométricos correctos datos y el dispositivo volvió a ingresar manualmente el PIN).
  • Sshd agrega soporte para llamadas de sistema adicionales al mecanismo de aislamiento de procesos basado en seccomp-bpf en Linux.

¿Como instalar OpenSSH 8.5 en Linux?

Para quienes estén interesados en poder instalar esta nueva versión de OpenSSH en sus sistemas, de momento podrán hacerlo descargando el código fuente de este y realizando la compilación en sus equipos.

Esto es debido a que la nueva versión aún no se ha incluido dentro de los repositorios de las principales distribuciones de Linux. Para obtener el código fuente, puedes hacer desde el siguiente enlace.

Hecha la descarga, ahora vamos a descomprimir el paquete con el siguiente comando:

tar -xvf openssh-8.5.tar.gz

Entramos al directorio creado:

cd openssh-8.5

Y podremos realizar la compilación con los siguientes comandos:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.