Релиз OpenSSH 8.8 с отключением поддержки цифровых подписей rsa-sha

26.09.2021 22:37

Опубликован релиз OpenSSH 8.8, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Выпуск примечателен отключением по умолчанию возможности использования цифровых подписей на базе RSA-ключей с хэшем SHA-1 ("ssh-rsa").

Прекращение поддержки подписей "ssh-rsa" обусловлено повышением эффективности коллизионных атак с заданным префиксом (стоимость подбора коллизии оценивается примерно в 50 тысяч долларов). Для проверки применения ssh-rsa в своих системах можно попробовать подключиться по ssh с опцией "-oHostKeyAlgorithms=-ssh-rsa". Поддержка подписей RSA с хэшами SHA-256 и SHA-512 (rsa-sha2-256/512), которые поддерживаются с OpenSSH 7.2, оставлена без изменений.

В большинстве случаев прекращение поддержки "ssh-rsa" не потребует от пользователей каких-то ручных действий, так как в OpenSSH ранее по умолчанию была включена настройка UpdateHostKeys, выполняющая автоматический перевод клиентов на более надёжные алгоритмы. Для миграции применяется расширение протокола "hostkeys@openssh.com", позволяющее серверу после прохождения аутентификации информировать клиента о всех доступных ключах хоста. В случае подключения к хостам с очень старыми версиями OpenSSH на стороне клиента можно выборочно вернуть возможность использования подписей "ssh-rsa", добавив в ~/.ssh/config:


    Host имя_старого_хоста
        HostkeyAlgorithms +ssh-rsa
	PubkeyAcceptedAlgorithms +ssh-rsa

В новой версии также устранена проблема с безопасностью, вызванная тем, что в sshd, начиная с выпуска OpenSSH 6.2, некорректно выполнялась инициализация группы пользователя при выполнении команд, заданных в директивах AuthorizedKeysCommand и AuthorizedPrincipalsCommand. Указанные директивы должны обеспечить запуск команд под другим пользователем, но на деле они наследовали список групп, используемых при запуске sshd. Потенциально такое поведение при наличии определённых системных настроек позволяло запущенному обработчику получить дополнительные привилегии в системе.

В примечании к новому выпуску также опубликовано предупреждение о намерении перевести по умолчанию утилиту scp на использование SFTP вместо устаревшего протокола SCP/RCP. В SFTP применяются более предсказуемые методы обработки имён и не используется обработка glob-шаблонов в именах файлов через shell на стороне другого хоста, создающая проблемы с безопасностью. В частности, при применении SCP и RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов, что в случае отсутствие должных проверок на стороне клиента позволяет серверу передать другие имена файлов, отличающиеся от запрошенных. Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как "~/". Для устранения данного различия в прошлом выпуске OpenSSH в реализации SFTP-сервера было предложено новое расширение протокола SFTP для раскрытия путей ~/ и ~user/.

исправить +23 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/55872-openssh

Ключевые слова: openssh, ssh

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (31)

1.3, Аноним (3), 23:09, 26/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Спасибо проекту openbsd!

2.21, Аноним (-), 17:07, 27/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Эта заслуга вождя Тео.

3.24, Аноним (3), 23:04, 27/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Тео годный старпер. Вот вождь Гвидо (тоже старпер и диктатр) таким наследием похвастаться не может...

1.4, Аноним (4), 23:11, 26/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	+11 +/–
Они специально rsa-sha называют ssh-rsa чтобы люди путались?

2.9, Аноним (9), 04:06, 27/09/2021 [^] [^^] [^^^] [ответить]	–2 +/–
А какая разница? Вот напишешь ты mint linux вместо linux mint и что изменится?

3.10, ET (?), 05:46, 27/09/2021 [^] [^^] [^^^] [ответить]	+6 +/–
тогда не mint linux, а mmit linux

1.5, Аноним (5), 23:13, 26/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Не так давно какое-то минорное обновление сделало невозможным подключение к роутерам (там dropbear) и в чём проблема узнать было нельзя никак. Не напомните, в чём там было дело? Тут опять минорщина и ломают совместимость.

2.6, Аноним (6), 00:55, 27/09/2021 [^] [^^] [^^^] [ответить]	+7 +/–
>в чём проблема узнать было нельзя никак Совсем никак, даже ssh -v не помогает?

2.7, Аноним (7), 01:24, 27/09/2021 [^] [^^] [^^^] [ответить]	+2 +/–
> к старым и дырявым версиям dropbear на всяких там openwrt chaos calmer Поправил тебя, дружище, больше не ошибайся.

3.8, Аноним (5), 02:47, 27/09/2021 [^] [^^] [^^^] [ответить]	+3 +/–
Трёхлетние роутеры не такие уж и старые, особенно учитывая, что доступны они только из локалки и только по кабелю.

4.12, Аноним (12), 08:14, 27/09/2021 [^] [^^] [^^^] [ответить]	+/–
... А ещё из всего интернета, ведь это роутеры, а не компьютеры внутри локальной сети за NAT.

5.16, Аноним (5), 13:10, 27/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
А как они будут доступны из интернета, если они принимают запросы из локалки и дропают всё остальное?

6.27, Аноним (27), 13:37, 28/09/2021 [^] [^^] [^^^] [ответить]	+/–
Через JavaScript в браузере.

7.29, Аноним (5), 13:57, 28/09/2021 [^] [^^] [^^^] [ответить]	+/–
Я знаю отличную защиту от этого: повесьте ssh в роутерах на нестандартный порт.

8.32, Аноним (32), 20:31, 28/09/2021 [^] [^^] [^^^] [ответить]	+/–
Установка актуальной версии OpenWrt - ещё лучшая защита ... текст свёрнут, показать

5.18, hefenud (ok), 14:21, 27/09/2021 [^] [^^] [^^^] [ответить]

+/–

cat /etc/config/dropbear

config dropbear
        option Port '22'
        option PasswordAuth 'off'
        option GatewayPorts 'on'
        option RootPasswordAuth 'off'
        option Interface 'lan'

lsof -i -n|grep LISTEN|grep drop
dropbear 10564 root 3u IPv4 658915 0t0 TCP 192.168.1.1:22 (LISTEN)
dropbear 10564 root 5u IPv6 658917 0t0 TCP [fdfa:5aa7:bf1f::1]:22 (LISTEN)

Какого еще интернета?
Я уж молчу про то, что большинство провайдеров на россии той же не дает реальники бесплатно и потому у большинства простых пользователей и на WAN висит какой-нибудь из 100.64.0.0/10

4.13, Qwerty (??), 08:32, 27/09/2021 [^] [^^] [^^^] [ответить]	+2 +/–
"Ничего не знаем. Покупайте новые."

5.14, Аноним (14), 10:47, 27/09/2021 [^] [^^] [^^^] [ответить]	+/–
Ничего не знаю. На моём тринадцатилетнем маршрутизаторе Asus WL-500g Premium работает OpenWrt 21.

6.22, n00by (ok), 18:56, 27/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Повысили же требования к ОЗУ до 64Мб. https://openwrt.org/releases/21.02/notes-21.02.0#increased_minimum_hardware_re Хватает 32 или паяли?

7.23, Аноним (27), 20:52, 27/09/2021 [^] [^^] [^^^] [ответить]	+2 +/–
v2. Хватает, но скачивание больших файлов (обновлений) по SSTP через него вызывает перезагрузку, приходится выключать VPN. Впрочем, все важные для меня ресурсы доступны и через Yggdrasil, иначе можно было бы откатить на OpenWrt 17, там такой проблемы нет. https://downloads.openwrt.org/releases/21.02.0/targets/bcm47xx/legacy/

8.25, Аноним (3), 23:20, 27/09/2021 [^] [^^] [^^^] [ответить]	+/–
Хацкир ... текст свёрнут, показать

9.33, Аноним (32), 21:01, 28/09/2021 [^] [^^] [^^^] [ответить]	+/–
Обычный человек Пользуюсь почтой и VPN провайдера https incognet io через Yg... текст свёрнут, показать

8.26, n00by (ok), 12:33, 28/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Спасибо А Wi-Fi, получается, не используете Думал, речь идёт о v1, там модуль ... текст свёрнут, показать

9.28, Аноним (27), 13:39, 28/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Использую, как раз только по Wi-Fi подключаюсь Мне хватает его скорости ... текст свёрнут, показать

4.17, Аноним (17), 14:15, 27/09/2021 [^] [^^] [^^^] [ответить]	+/–
chaos calmer - трёхлетние роутеры?

2.11, Mike.pm (ok), 08:08, 27/09/2021 [^] [^^] [^^^] [ответить]	+/–
В опции хоста в .ssh/config попробуй добавить KexAlgorithms +diffie-hellman-group1-sha1

3.15, СеменСеменыч777 (?), 10:58, 27/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
для старых цисок приходилось добавлять еще и Ciphers 3des-cbc

4.31, aaa (??), 20:02, 28/09/2021 [^] [^^] [^^^] [ответить]	+/–
миниму нагрузки на cpu и от мамкиных хакеров помогает)

1.20, Аноним (20), 17:04, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> В примечании к новому выпуску также опубликовано предупреждение о намерении перевести по умолчанию утилиту scp на использование SFTP вместо устаревшего протокола SCP/RCP

Очень хорошо. А то особо параноидальные админы уже отключают SCP и приходится в скриптах писать извращения типа

echo "put $filename" | sftp -b - "$host:$path/"

1.30, Аноним (30), 14:52, 28/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Почему sftp медленно работает?

2.34, Аноним (20), 23:43, 28/09/2021 [^] [^^] [^^^] [ответить]	+/–
Ответ будет зависеть от того, с чем сравниваете. В инете поищите.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: