OpenSSH é um conjunto de aplicativos que permitem comunicações criptografadas em uma rede, usando o protocolo SSH.
Foi anunciado o lançamento da nova versão do OpenSSH 9.6 e esta versão inclui diversas correções de bugs e também inclui alguns novos recursos, diversas melhorias de desempenho e muito mais.
Para quem não conhece OpenSSH (Open Secure Shell) deve saber que este é um conjunto de aplicativos que permitem comunicações criptografadas através de uma rede, usando o protocolo SSH. Ele foi criado como uma alternativa livre e aberta ao programa Secure Shell, que é um software proprietário.
Principais novos recursos do OpenSSH 9.6
Esta nova versão do OpenSSH 9.6 destaca o ProxyJump simplificado, já que a substituição "%j" foi adicionada ao ssh, expandindo para o nome de host especificado, bem como detecção aprimorada de sinalizadores de compilador instáveis ou não suportados, como "-fzero-call-usado-regs» em clang.
Outra mudança que a nova versão apresenta é que Suporte para configuração de ChannelTimeout foi adicionado ao ssh no lado do cliente, que pode ser usado para encerrar canais inativos.
Além disso, no OpenSSH 9.6 Controle granular de algoritmos de assinatura introduzido, já que uma extensão de protocolo foi adicionada para ssh e sshd para renegociar algoritmos de assinatura digital para autenticação de chave pública após receber o nome de usuário. Por exemplo, ao usar a extensão, você pode usar seletivamente outros algoritmos em relação aos usuários especificados.
Destaca-se também que adicionou uma extensão de protocolo para ssh-add e ssh-agent para configurar certificados ao carregar chaves PKCS#11, lo que permite que certificados associados às chaves privadas PKCS#11 sejam usados em todos os utilitários OpenSSH que suportam ssh-agent, não apenas ssh.
Em relação às correções de bugs, é mencionado que estão incluídas as seguintes correções:
- Solução para o vulnerabilidade no protocolo SSH (CVE-2023-48795, ataque Terrapin), que permite que um ataque MITM reverta a conexão para usar algoritmos de autenticação menos seguros e desabilite a proteção contra ataques de canal lateral que recriam a entrada analisando atrasos entre as teclas digitadas no teclado. O método de ataque é descrito em uma notícia separada.
- Solução para o vulnerabilidade no utilitário ssh que permite a substituição de comandos shell arbitrários manipulando valores de login e host que contêm caracteres especiais. A vulnerabilidade pode ser explorada se um invasor controlar os valores de login e nome do host passados para ssh, as diretivas ProxyCommand e LocalCommand ou blocos “match exec” que contêm caracteres curinga como% u e% h. Por exemplo, o login e o host incorretos podem ser substituídos em sistemas que usam submódulos no Git, uma vez que o Git não proíbe a especificação de caracteres especiais em nomes de host e de usuário. Uma vulnerabilidade semelhante também aparece no libssh.
- Solução para erro no ssh-agent onde, ao adicionar chaves privadas PKCS#11, as restrições foram aplicadas somente à primeira chave retornada pelo token PKCS#11. O problema não afeta chaves privadas regulares, tokens FIDO ou chaves irrestritas.
Do outras mudanças que se destacam desta nova versão:
- PubkeyAcceptedAlgoritmos no bloco “Corresponder usuário”.
- Para limitar os privilégios do processo sshd, as versões do OpenSolaris que suportam a interface getpflags() usam o PRIV_XPOLICY em vez de PRIV_LIMIT.
- Adicionado suporte para leitura de chaves privadas ED25519 no formato PEM PKCS8 para ssh, sshd, ssh-add e ssh-keygen (anteriormente, apenas o formato OpenSSH era compatível).
Finalmente se você estiver interessado em saber mais sobre isso sobre esta nova versão, você pode verificar os detalhes indo para o seguinte link.
Como instalar o OpenSSH 9.6 no Linux?
Para aqueles que estão interessados em poder instalar esta nova versão do OpenSSH em seus sistemas, por enquanto eles podem fazer isso baixando o código-fonte deste e realizando a compilação em seus computadores.
Isso ocorre porque a nova versão ainda não foi incluída nos repositórios das principais distribuições do Linux. Para obter o código-fonte, você pode fazer a partir do seguinte link.
Feito o download, agora vamos descompactar o pacote com o seguinte comando:
tar -xvf openssh-9.6.tar.gz
Entramos no diretório criado:
cd openssh-9.6
Y podemos compilar com os seguintes comandos:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install