Для скачивания и установки доступна новая версия OpenSSH. В версии 8.8 по умолчанию отключена возможность использования цифровых подписей на базе RSA-ключей с хешем SHA-1 («ssh-rsa»).
Прекращение поддержки подписей связано с повышением эффективности коллизионных атак с заданным префиксом. Если Вы хотите проверить, используются ли в Ваших системах подписи «ssh-rsa», Вы можете попробовать подключиться через SSH с опцией «-oHostKeyAlgorithms=-ssh-rsa». Что касается поддержки подписей RSA с хешами SHA-256 и SHA-512 («rsa-sha2-256/512»), то она оставлена без изменений.
В большинстве случаев прекращение поддержки «ssh-rsa» не потребует от пользователей и администраторов дополнительных действий, поскольку разработчики OpenSSH заранее добавили настройку UpdateHostKeys и включили её по умолчанию. Данная настройка автоматически переводит клиентов на более надёжные алгоритмы. Для этого используется расширение протокола «hostkeys@openssh.com», позволяющее серверу после прохождения аутентификации информировать клиента о всех доступных ключах хоста. В случае подключения к хостам с очень старыми версиями OpenSSH на стороне клиента можно выборочно вернуть возможность использования подписей «ssh-rsa», добавив в ~/.ssh/config:
Host имя_старого_хоста
HostkeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa
Кроме этого в OpenSSH 8.8 внесены следующие изменения:
- Устранена проблема с безопасностью, вызванная тем, что в sshd, начиная с OpenSSH 6.2, некорректно выполнялась инициализация группы пользователя при выполнении команд, заданных в директивах AuthorizedKeysCommand и AuthorizedPrincipalsCommand. Эти директивы должны обеспечить запуск команд под другим пользователем, но на практике они наследовали список групп, используемых при запуске sshd. Такое поведение директив потенциально позволяло запущенному обработчику получить дополнительные права в системе;
- В примечании к выпуску опубликовано предупреждение о намерении перевести утилиту SCP на использование по умолчанию протокола SFTP вместо SCP/RCP. В SFTP применяются более предсказуемые методы обработки имён и не используется обработка glob-шаблонов в именах файлов через shell на стороне другого хоста. В частности, при применении SCP и RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов, что в случае отсутствие должных проверок на стороне клиента позволяет серверу передать другие имена файлов, отличающиеся от запрошенных. Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие специальных путей, таких как «~/». Для устранения данного различия в прошлом выпуске OpenSSH в реализации SFTP-сервера было предложено новое расширение протокола SFTP для раскрытия путей ~/ и ~user/.
Подробнее о свежей версии OpenSSH можно прочитать по данной ссылке.
Статьи по теме: