OpenSSH 8.1 lançado para resolver uma vulnerabilidade

E foi lançado o OpenSSH 8.1 para resolver uma vulnerabilidade e outras melhorias. Confira as novidades e veja com instalar no Linux.

Após seis meses de desenvolvimento, foi apresentado o lançamento do OpenSSH 8.1, que é um conjunto de aplicativos que permitem comunicações criptografadas em uma rede, usando o protocolo SSH, como servidor de código aberto e implementação de cliente para trabalhar no SSH 2.0 e SFTP.

OpenSSH 8.1 lançado para resolver uma vulnerabilidade

Esta nova versão do OpenSSH 8.1 vem com algumas melhorias, mas um dos destaques é a solução de vulnerabilidade que afeta ssh, sshd, ssh-add e ssh-keygen. O problema está presente no código de análise de chave privada com o tipo XMSS e permite que o invasor inicie um estouro.

A vulnerabilidade é marcada como explorável, mas não aplicável, pois o suporte a chaves XMSS refere-se a recursos experimentais desabilitados por padrão (na versão portátil, o autoconf nem sequer fornece uma opção para ativar o XMSS).

Novidades do OpenSSH 8.1

Nesta nova versão do OpenSSH 8.1, um código foi adicionado ao ssh, sshd e ssh-agent que impede a recuperação da chave privada localizada na RAM como resultado de ataques a canais de terceiros como Spectre, Meltdown, RowHammer e RAMBleed.

As chaves privadas agora são criptografadas quando carregadas na memória e descriptografadas apenas no momento do uso, o restante do tempo restante é criptografado.

Com essa abordagem, para recuperar com êxito a chave privada, o invasor deve primeiro restaurar a chave intermediária de 16 KB gerada aleatoriamente para criptografar a chave primária, o que é improvável com a taxa de erro de recuperação típica dos ataques modernos.

Outra mudança importante que se destaca é o ssh-keygen, que foi adicionado como suporte experimental para um esquema simplificado de criação e verificação de assinaturas digitais.

As assinaturas digitais podem ser criadas usando chaves SSH comuns armazenadas no disco ou no ssh-agent e verificadas usando uma lista de chaves válidas semelhantes às chaves autorizadas.

As informações do espaço para nome são incorporadas na assinatura digital para evitar confusão quando aplicadas em vários campos (por exemplo, para email e arquivos).

O Ssh-keygen é ativado por padrão para usar o algoritmo rsa-sha2-512 ao verificar certificados com uma assinatura digital baseada na chave RSA (ao trabalhar no modo CA).

Esses certificados são incompatíveis com as versões anteriores ao OpenSSH 7.2 (para garantir a compatibilidade, cancele o tipo de algoritmo, por exemplo, chamando “ssh-keygen -t ssh-rsa -s…”).

No ssh, a expressão ProxyCommand suporta a expansão de expansão “% n” (o nome do host especificado na barra de endereço).

Nas listas de algoritmos de criptografia para ssh e sshd, o símbolo “^” agora pode ser usado para inserir os algoritmos padrão. Ssh-keygen fornece a saída de um comentário anexado a uma chave quando uma chave pública é recuperada de uma privada.

O Ssh-keygen adiciona a capacidade de usar o sinalizador -v ao executar operações de pesquisa de chave (por exemplo, ssh-keygen -vF host), cuja indicação leva à exibição de uma assinatura de host limpa.

Finalmente, outra novidade notável é a adição da capacidade de usar o PKCS8 como um formato alternativo para armazenar chaves privadas em disco. Por padrão, o formato PEM continua a ser usado e o PKCS8 pode ser útil para compatibilidade com aplicativos de terceiros.

Para saber mais sobre essa versão do OpenSSH, acesse a nota de lançamento.

Como instalar ou atualizar o OpenSSH 8.1

Para aqueles que estão interessados ​​em poder instalar esta nova versão do OpenSSH em seus sistemas, no momento eles podem fazer isso baixando o código-fonte e fazendo a compilação em seus computadores.

Isso ocorre porque a nova versão ainda não foi incluída nos repositórios das principais distribuições Linux.

Portanto, para instalar a versão mais recente do OpenSSH nas principais distribuições Linux, faça o seguinte:

Passo 1. Abra um terminal com privilégios de administrador (root) ou abra um terminal como usuário comum e use o ‘sudo‘ antes dos comandos a seguir;
Passo 2. Baixe o código fonte do programa com esse comando;

wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz

Passo 3. Quando terminar o download, descompacte o arquivo baixado, usando esse comando;

tar -xvf openssh-8.1p1.tar.gz

Passo 4. Acesse a pasta criada durante a descompactação;

cd openssh-8.1p1.tar.gz

Passo 5. Use o comando abaixo para prepara o código fonte para ser compilado;

./configure --prefix=/opt --sysconfdir=/etc/ssh

Passo 6. Em seguida, use esse comando para compilar o código fonte;

make

Passo 7. Por fim, use o comando abaixo para instalar o programa no seu sistema.

make install

Pronto! O OpenSSH está instalado. Se depois você precisar desinstalar, em um terminal (com privilégios de administrador ou seguido de ‘sudo‘), acesse novamente a pasta criada ao descompactar e use o comando abaixo;

make uninstall

O que está sendo falado no blog

No Post found.

Deixe um comentário

Sair da versão mobile