The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз OpenSSH 8.8 с отключением поддержки цифровых подписей rsa-sha

26.09.2021 22:37

Опубликован релиз OpenSSH 8.8, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Выпуск примечателен отключением по умолчанию возможности использования цифровых подписей на базе RSA-ключей с хэшем SHA-1 ("ssh-rsa").

Прекращение поддержки подписей "ssh-rsa" обусловлено повышением эффективности коллизионных атак с заданным префиксом (стоимость подбора коллизии оценивается примерно в 50 тысяч долларов). Для проверки применения ssh-rsa в своих системах можно попробовать подключиться по ssh с опцией "-oHostKeyAlgorithms=-ssh-rsa". Поддержка подписей RSA с хэшами SHA-256 и SHA-512 (rsa-sha2-256/512), которые поддерживаются с OpenSSH 7.2, оставлена без изменений.

В большинстве случаев прекращение поддержки "ssh-rsa" не потребует от пользователей каких-то ручных действий, так как в OpenSSH ранее по умолчанию была включена настройка UpdateHostKeys, выполняющая автоматический перевод клиентов на более надёжные алгоритмы. Для миграции применяется расширение протокола "[email protected]", позволяющее серверу после прохождения аутентификации информировать клиента о всех доступных ключах хоста. В случае подключения к хостам с очень старыми версиями OpenSSH на стороне клиента можно выборочно вернуть возможность использования подписей "ssh-rsa", добавив в ~/.ssh/config:


    Host имя_старого_хоста
        HostkeyAlgorithms +ssh-rsa
	PubkeyAcceptedAlgorithms +ssh-rsa

В новой версии также устранена проблема с безопасностью, вызванная тем, что в sshd, начиная с выпуска OpenSSH 6.2, некорректно выполнялась инициализация группы пользователя при выполнении команд, заданных в директивах AuthorizedKeysCommand и AuthorizedPrincipalsCommand. Указанные директивы должны обеспечить запуск команд под другим пользователем, но на деле они наследовали список групп, используемых при запуске sshd. Потенциально такое поведение при наличии определённых системных настроек позволяло запущенному обработчику получить дополнительные привилегии в системе.


В примечании к новому выпуску также опубликовано предупреждение о намерении перевести по умолчанию утилиту scp на использование SFTP вместо устаревшего протокола SCP/RCP. В SFTP применяются более предсказуемые методы обработки имён и не используется обработка glob-шаблонов в именах файлов через shell на стороне другого хоста, создающая проблемы с безопасностью. В частности, при применении SCP и RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов, что в случае отсутствие должных проверок на стороне клиента позволяет серверу передать другие имена файлов, отличающиеся от запрошенных. Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как "~/". Для устранения данного различия в прошлом выпуске OpenSSH в реализации SFTP-сервера было предложено новое расширение протокола SFTP для раскрытия путей ~/ и ~user/.

  1. Главная ссылка к новости (https://lists.mindrot.org/pipe...)
  2. OpenNews: Google опубликовал HIBA, надстройку над OpenSSH для авторизации на основе сертификатов
  3. OpenNews: Уязвимость в libssh, приводящая к переполнению буфера
  4. OpenNews: Релиз OpenSSH 8.7
  5. OpenNews: Релиз OpenSSH 8.6 с устранением уязвимости
  6. OpenNews: Анализ активности атакующих, связанной с подбором паролей по SSH
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55872-openssh
Ключевые слова: openssh, ssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (3), 23:09, 26/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Спасибо проекту openbsd!
     
     
  • 2.21, Аноним (-), 17:07, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эта заслуга вождя Тео.
     
     
  • 3.24, Аноним (3), 23:04, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тео годный старпер. Вот вождь Гвидо (тоже старпер и диктатр) таким наследием похвастаться не может...
     

  • 1.4, Аноним (4), 23:11, 26/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Они специально rsa-sha называют ssh-rsa чтобы люди путались?
     
     
  • 2.9, Аноним (9), 04:06, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А какая разница? Вот напишешь ты mint linux вместо linux mint и что изменится?
     
     
  • 3.10, ET (?), 05:46, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    тогда не mint linux, а mmit linux
     

  • 1.5, Аноним (5), 23:13, 26/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не так давно какое-то минорное обновление сделало невозможным подключение к роутерам (там dropbear) и в чём проблема узнать было нельзя никак. Не напомните, в чём там было дело? Тут опять минорщина и ломают совместимость.
     
     
  • 2.6, Аноним (6), 00:55, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    >в чём проблема узнать было нельзя никак

    Совсем никак, даже ssh -v не помогает?

     
  • 2.7, Аноним (7), 01:24, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > к старым и дырявым версиям dropbear на всяких там openwrt chaos calmer

    Поправил тебя, дружище, больше не ошибайся.

     
     
  • 3.8, Аноним (5), 02:47, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Трёхлетние роутеры не такие уж и старые, особенно учитывая, что доступны они только из локалки и только по кабелю.
     
     
  • 4.12, Аноним (12), 08:14, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ... А ещё из всего интернета, ведь это роутеры, а не компьютеры внутри локальной сети за NAT.
     
     
  • 5.16, Аноним (5), 13:10, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А как они будут доступны из интернета, если они принимают запросы из локалки и дропают всё остальное?
     
     
  • 6.27, Аноним (27), 13:37, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Через JavaScript в браузере.
     
     
  • 7.29, Аноним (5), 13:57, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я знаю отличную защиту от этого: повесьте ssh в роутерах на нестандартный порт.
     
     
  • 8.32, Аноним (32), 20:31, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Установка актуальной версии OpenWrt - ещё лучшая защита ... текст свёрнут, показать
     
  • 5.18, hefenud (ok), 14:21, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    cat /etc/config/dropbear

    config dropbear
            option Port '22'
            option PasswordAuth 'off'
            option GatewayPorts 'on'
            option RootPasswordAuth 'off'
            option Interface 'lan'

    lsof -i -n|grep LISTEN|grep drop
    dropbear  10564    root    3u  IPv4 658915      0t0  TCP 192.168.1.1:22 (LISTEN)
    dropbear  10564    root    5u  IPv6 658917      0t0  TCP [fdfa:5aa7:bf1f::1]:22 (LISTEN)

    Какого еще интернета?
    Я уж молчу про то, что большинство провайдеров на россии той же не дает реальники бесплатно и потому у большинства простых пользователей и на WAN висит какой-нибудь из 100.64.0.0/10

     
  • 4.13, Qwerty (??), 08:32, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Ничего не знаем. Покупайте новые."
     
     
  • 5.14, Аноним (14), 10:47, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего не знаю. На моём тринадцатилетнем маршрутизаторе Asus WL-500g Premium работает OpenWrt 21.
     
     
  • 6.22, n00by (ok), 18:56, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Повысили же требования к ОЗУ до 64Мб. https://openwrt.org/releases/21.02/notes-21.02.0#increased_minimum_hardware_re
    Хватает 32 или паяли?
     
     
  • 7.23, Аноним (27), 20:52, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    v2. Хватает, но скачивание больших файлов (обновлений) по SSTP через него вызывает перезагрузку, приходится выключать VPN. Впрочем, все важные для меня ресурсы доступны и через Yggdrasil, иначе можно было бы откатить на OpenWrt 17,  там такой проблемы нет.
    https://downloads.openwrt.org/releases/21.02.0/targets/bcm47xx/legacy/
     
     
  • 8.25, Аноним (3), 23:20, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хацкир ... текст свёрнут, показать
     
     
  • 9.33, Аноним (32), 21:01, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Обычный человек Пользуюсь почтой и VPN провайдера https incognet io через Yg... текст свёрнут, показать
     
  • 8.26, n00by (ok), 12:33, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо А Wi-Fi, получается, не используете Думал, речь идёт о v1, там модуль ... текст свёрнут, показать
     
     
  • 9.28, Аноним (27), 13:39, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Использую, как раз только по Wi-Fi подключаюсь Мне хватает его скорости ... текст свёрнут, показать
     
  • 4.17, Аноним (17), 14:15, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    chaos calmer - трёхлетние роутеры?
     
  • 2.11, Mike.pm (ok), 08:08, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В опции хоста в .ssh/config попробуй добавить KexAlgorithms +diffie-hellman-group1-sha1
     
     
  • 3.15, СеменСеменыч777 (?), 10:58, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    для старых цисок приходилось добавлять еще и
    Ciphers 3des-cbc

     
     
  • 4.31, aaa (??), 20:02, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    миниму нагрузки на cpu и от мамкиных хакеров помогает)
     

  • 1.20, Аноним (20), 17:04, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В примечании к новому выпуску также опубликовано предупреждение о намерении перевести по умолчанию утилиту scp на использование SFTP вместо устаревшего протокола SCP/RCP

    Очень хорошо. А то особо параноидальные админы уже отключают SCP и приходится в скриптах писать извращения типа

    echo "put $filename" | sftp -b - "$host:$path/"

     
  • 1.30, Аноним (30), 14:52, 28/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему sftp медленно работает?
     
     
  • 2.34, Аноним (20), 23:43, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ответ будет зависеть от того, с чем сравниваете. В инете поищите.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру