OpenSSH 9.3 lançado com várias correções de bugs, e muito mais

E foi lançado o OpenSSH 9.3 com várias correções de bugs, e muito mais. Confira as novidades e veja com instalar no Linux.

O OpenSSH é o mais importante conjunto de utilitários de rede relacionado à segurança que provém a criptografia em sessões de comunicações em uma rede de computadores usando o protocolo SSH.

Agora, o OpenSSH 9.3 está disponível como a versão mais recente dessa implementação SSH de código aberto amplamente usada.

Novidades do OpenSSH 9.3

OpenSSH 9.3 lançado com várias correções de bugs, e muito mais
OpenSSH 9.3 lançado com várias correções de bugs, e muito mais

O OpenSSH 9.3 consegue corrigir alguns problemas de segurança, além de adicionar alguns novos recursos

Nesta nova versão do OpenSSH 9.3, um dos novos recursos é que o sshd adiciona uma opção `sshd -G` que analisa e imprime a configuração real sem tentar carregar chaves privadas e realizar outras verificações.

Isso permite que a opção seja usada antes que as chaves sejam geradas e para avaliação e verificação de configuração por usuários não privilegiados.

No lado da correção de bug, um erro lógico foi encontrado no utilitário ssh-add, portanto, ao adicionar chaves de cartão inteligente ao ssh-agent, as restrições especificadas com a opção ssh-add -h não foram para o agente.

Como resultado, uma chave foi adicionada ao agente, portanto, não havia restrições que permitissem conexões apenas de determinados hosts.

Outra correção implementada no OpenSSH 9.3 é uma vulnerabilidade no utilitário ssh que pode fazer com que os dados sejam lidos da área de pilha fora do buffer alocado ao processar respostas DNS especialmente criadas se a configuração VerifyHostKeyDNS estiver incluída no arquivo .configuration.

O problema existe na implementação integrada da função getrrsetbyname(), que é usada em versões portáteis do OpenSSH construídas sem usar a biblioteca ldns externa (--with-ldns) e em sistemas com bibliotecas padrão que não suportam getrrsetbyname() chamando.

A possibilidade de explorar a vulnerabilidade, além de iniciar uma negação de serviço para o cliente ssh, é considerada improvável.

Das outras alterações que se destacam no OpenSSH 9.3, temos:

  • No scp e sftp, foi corrigida a corrupção do medidor de progresso em telas largas;
  • ssh-add e ssh-keygen usam RSA/SHA256 ao testar a usabilidade da chave privada, pois alguns sistemas estão começando a desabilitar RSA/SHA1 em libcrypto.
  • No sftp-server, foi corrigido um vazamento de memória.
  • Em ssh, sshd e ssh-keyscan o código de compatibilidade foi removido e simplificado o que resta do protocolo “vestigal”.
  • Correção da série de resultados da análise estática Coverity de baixo impacto.
    Estes incluem vários relatados:
    * ssh_config(5), sshd_config(5): Mencione que algumas opções não são
    vencidas pela primeira vez.
    * Log de retrabalho para teste de regressão. Os testes de regressão agora
    capturam logs separados para cada chamada ssh e sshd em um teste.
    * ssh(1): faz `ssh -Q CASignatureAlgorithms` funcionar como a página man
    diz que deveria; bz3532.

Finalmente, deve-se notar que uma vulnerabilidade pode ser observada na biblioteca libskey incluída no OpenBSD, que é usada no OpenSSH. O problema existe desde 1997 e pode causar um estouro de buffer de pilha ao processar nomes de host especialmente criados.

Para saber mais sobre essa versão do OpenSSH, acesse a nota de lançamento.

Como instalar ou atualizar o OpenSSH

Para aqueles que estão interessados ​​em poder instalar esta nova versão do OpenSSH em seus sistemas, no momento eles podem fazer isso baixando o código-fonte e fazendo a compilação em seus computadores.

Isso ocorre porque a nova versão ainda não foi incluída nos repositórios das principais distribuições Linux. Mas possivelmente, em breve estará disponível.

Portanto, se você quer instalar a versão mais recente do OpenSSH nas principais distribuições Linux, faça o seguinte:

Passo 1. Abra um terminal com privilégios de administrador (root) ou abra um terminal como usuário comum e use o ‘sudo‘ antes dos comandos a seguir;
Passo 2. Baixe o código fonte do programa com esse comando;

wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/openssh-9.3.tar.gz -O openssh.tar.gz

Passo 3. Quando terminar o download, descompacte o arquivo baixado, usando esse comando;

tar -xvf openssh.tar.gz

Passo 4. Acesse a pasta criada durante a descompactação;

cd openssh-*/

Passo 5. Use o comando abaixo para prepara o código fonte para ser compilado;

./configure --prefix=/opt --sysconfdir=/etc/ssh

Passo 6. Em seguida, use esse comando para compilar o código fonte;

make

Passo 7. Por fim, use o comando abaixo para instalar o programa no seu sistema.

make install

Pronto! O OpenSSH está instalado.

Se depois você precisar desinstalar, em um terminal (com privilégios de administrador ou seguido de ‘sudo‘), acesse novamente a pasta criada ao descompactar e use o comando abaixo;

make uninstall
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.