OpenSSH 9.4 ya fue liberado y estas son sus novedades
Se dio a conocer el lanzamiento de la nueva versión de OpenSSH 9.4, versión en la cual se han implementado una serie de correcciones y pequeñas mejoras de las cuales se destaca el soporte para etiquetas de configuración soporte para extensiones KRL y mas.
Para quienes desconocen de OpenSSH (Open Secure Shell) deben saber que este es un conjunto de aplicaciones que permiten realizar comunicaciones cifradas a través de una red, usando el protocolo SSH. Fue creado como una alternativa libre y abierta al programa Secure Shell, que es software propietario.
Principales novedades de OpenSSH 9.4
En esta nueva versión que se presenta de la implementación OpenSSH 9.4 una de sus principales novedades es el soporte para etiquetas de configuración a ssh mediante la directiva «Tag» y una operación de coincidencia «Match tag» al archivo de configuración ssh_config para permitir el uso de etiquetas para definir condiciones de selección para un bloque de configuración específico.
Otro de los cambios que se destaca de esta nueva versión es que sshd, las directivas AuthorizedPrincipalsCommand y AuthorizedKeysCommand admiten dos secuencias adicionales, las cuales son «%- y %D» para sustituir la dirección de la puerta de enlace a través de la cual se enruta la sesión actual y «%C» para sustituir las direcciones y los números de puerto del lado local y remoto de la conexión
Ademas de ello, tambien se destaca que en esta nueva versión de OpenSSH 9.4 se elimina la compatibilidad con versiones anteriores de libcrypto. Con lo cual a partir de OpenSSH 9.4 se requiere versiones superiores a LibreSSL 3.1.0 y OpenSSL 1.1.1.
Tambien otro de los cambios que causan incompatibilidad y como una forma adicional de bloquear la vulnerabilidad asociada con la capacidad de cargar módulos PKCS # 11 en ssh-agent, está prohibido especificar rutas relativas e incompletas a los módulos (anteriormente, la función dlopen buscaba un módulo por nombre en el directorio de la biblioteca).
Por otra parte, se destaca que se agregó el soporte para conectar extensiones en formato KRL a ssh, sshd y ssh-keygen. Las extensiones en sí aún no están disponibles en esta etapa de desarrollo.
Ademas, en la utilidad ssh-keygen predeterminada, la cantidad de rondas en la función bcrypt se incrementó en un 50 % al generar claves para el cifrado de archivos simétricos con claves protegidas con contraseña.
De los demás cambios que se destacan de esta nueva versión:
- La utilidad ssh permite la redirección a otro host de socket Unix usando el comando «ssh -W».
- Se agregó la operación «match localnetwork» a ssh lo que permite hacer coincidir con las direcciones de las interfaces de red disponibles y puede usarse para variar la configuración efectiva del cliente según la ubicación de la red.
- sshd proporciona un reemplazo para la función SELinux matchpathcon(), que está en desuso.
- Solucion de problemas de compilación para el módulo de proveedor sk-dummy.so FIDO
utilizado en algunas pruebas. - ssh-agent mejora el aislamiento entre los módulos PKCS#11 cargados
mediante la ejecución de ssh-pkcs11-helpers independientes para cada proveedor cargado. - En sshd, ssh y ssh-keygen se elimina la compatibilidad residual con las firmas KRL. Esta
versión elimina el código parcialmente implementado para verificar los KRL. - ssh-keygen corrige que «no comment» no se muestra cuando se ejecuta `ssh-keygen -l` en varias teclas donde una tiene un comentario y otras teclas siguientes no.
- Se ajusto la lógica ftruncate() para manejar servidores que reordenan solicitudes. Anteriormente, si el servidor reordenaba las solicitudes, entonces el archivo resultante se truncaría por error.
Finalmente si estás interesado en conocer más al respecto sobre esta nueva versión, puedes consultar los detalles dirigiéndote al siguiente enlace.
¿Como instalar OpenSSH 9.4 en Linux?
Para quienes estén interesados en poder instalar esta nueva versión de OpenSSH en sus sistemas, de momento podrán hacerlo descargando el código fuente de este y realizando la compilación en sus equipos.
Esto es debido a que la nueva versión aún no se ha incluido dentro de los repositorios de las principales distribuciones de Linux. Para obtener el código fuente, puedes hacer desde el siguiente enlace.
Hecha la descarga, ahora vamos a descomprimir el paquete con el siguiente comando:
tar -xvf openssh-9.4.tar.gz
Entramos al directorio creado:
cd openssh-9.4
Y podremos realizar la compilación con los siguientes comandos:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install