E foi lançado o OpenSSH 9.3 com várias correções de bugs, e muito mais. Confira as novidades e veja com instalar no Linux.
O OpenSSH é o mais importante conjunto de utilitários de rede relacionado à segurança que provém a criptografia em sessões de comunicações em uma rede de computadores usando o protocolo SSH.
Agora, o OpenSSH 9.3 está disponível como a versão mais recente dessa implementação SSH de código aberto amplamente usada.
Novidades do OpenSSH 9.3
O OpenSSH 9.3 consegue corrigir alguns problemas de segurança, além de adicionar alguns novos recursos
Nesta nova versão do OpenSSH 9.3, um dos novos recursos é que o sshd adiciona uma opção `sshd -G` que analisa e imprime a configuração real sem tentar carregar chaves privadas e realizar outras verificações.
Isso permite que a opção seja usada antes que as chaves sejam geradas e para avaliação e verificação de configuração por usuários não privilegiados.
No lado da correção de bug, um erro lógico foi encontrado no utilitário ssh-add, portanto, ao adicionar chaves de cartão inteligente ao ssh-agent, as restrições especificadas com a opção ssh-add -h não foram para o agente.
Como resultado, uma chave foi adicionada ao agente, portanto, não havia restrições que permitissem conexões apenas de determinados hosts.
Outra correção implementada no OpenSSH 9.3 é uma vulnerabilidade no utilitário ssh que pode fazer com que os dados sejam lidos da área de pilha fora do buffer alocado ao processar respostas DNS especialmente criadas se a configuração VerifyHostKeyDNS estiver incluída no arquivo .configuration.
O problema existe na implementação integrada da função getrrsetbyname(), que é usada em versões portáteis do OpenSSH construídas sem usar a biblioteca ldns externa (--with-ldns) e em sistemas com bibliotecas padrão que não suportam getrrsetbyname() chamando.
A possibilidade de explorar a vulnerabilidade, além de iniciar uma negação de serviço para o cliente ssh, é considerada improvável.
Das outras alterações que se destacam no OpenSSH 9.3, temos:
- No scp e sftp, foi corrigida a corrupção do medidor de progresso em telas largas;
- ssh-add e ssh-keygen usam RSA/SHA256 ao testar a usabilidade da chave privada, pois alguns sistemas estão começando a desabilitar RSA/SHA1 em libcrypto.
- No sftp-server, foi corrigido um vazamento de memória.
- Em ssh, sshd e ssh-keyscan o código de compatibilidade foi removido e simplificado o que resta do protocolo “vestigal”.
- Correção da série de resultados da análise estática Coverity de baixo impacto.
Estes incluem vários relatados:
* ssh_config(5), sshd_config(5): Mencione que algumas opções não são
vencidas pela primeira vez.
* Log de retrabalho para teste de regressão. Os testes de regressão agora
capturam logs separados para cada chamada ssh e sshd em um teste.
* ssh(1): faz `ssh -Q CASignatureAlgorithms` funcionar como a página man
diz que deveria; bz3532.
Finalmente, deve-se notar que uma vulnerabilidade pode ser observada na biblioteca libskey incluída no OpenBSD, que é usada no OpenSSH. O problema existe desde 1997 e pode causar um estouro de buffer de pilha ao processar nomes de host especialmente criados.
Para saber mais sobre essa versão do OpenSSH, acesse a nota de lançamento.
Como instalar ou atualizar o OpenSSH
Para aqueles que estão interessados em poder instalar esta nova versão do OpenSSH em seus sistemas, no momento eles podem fazer isso baixando o código-fonte e fazendo a compilação em seus computadores.
Isso ocorre porque a nova versão ainda não foi incluída nos repositórios das principais distribuições Linux. Mas possivelmente, em breve estará disponível.
Portanto, se você quer instalar a versão mais recente do OpenSSH nas principais distribuições Linux, faça o seguinte:
Passo 1. Abra um terminal com privilégios de administrador (root) ou abra um terminal como usuário comum e use o ‘sudo‘ antes dos comandos a seguir;
Passo 2. Baixe o código fonte do programa com esse comando;
wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/openssh-9.3.tar.gz -O openssh.tar.gzPasso 3. Quando terminar o download, descompacte o arquivo baixado, usando esse comando;
tar -xvf openssh.tar.gzPasso 4. Acesse a pasta criada durante a descompactação;
cd openssh-*/Passo 5. Use o comando abaixo para prepara o código fonte para ser compilado;
./configure --prefix=/opt --sysconfdir=/etc/sshPasso 6. Em seguida, use esse comando para compilar o código fonte;
makePasso 7. Por fim, use o comando abaixo para instalar o programa no seu sistema.
make installPronto! O OpenSSH está instalado.
Se depois você precisar desinstalar, em um terminal (com privilégios de administrador ou seguido de ‘sudo‘), acesse novamente a pasta criada ao descompactar e use o comando abaixo;
make uninstall