OpenSSH 10.3 nu beschikbaar Het introduceert een combinatie van beveiligingspatches, gedragsaanpassingen en nieuwe mogelijkheden die zowel systeembeheerders als ontwikkelaars beïnvloeden. Hoewel veel van de nieuwe functies technisch van aard zijn, kunnen sommige verbindingsproblemen veroorzaken met oudere clients of servers als de configuraties niet zorgvuldig worden gecontroleerd.
Voor bedrijfsomgevingen, waar OpenSSH een essentieel onderdeel is van Linux-servers, BSD-systemen en netwerkapparaten, is deze update bijzonder relevant. Versie 10.3 verhelpt beveiligingslekken, past de certificaatvalidatie aan en wijzigt de manier waarop bepaalde configuratieopties worden afgehandeld. Daarom is het raadzaam om de update eerst in een pre-productieomgeving te testen voordat deze op grote schaal wordt geïmplementeerd.
Verbroken compatibiliteit met implementaties die geen nieuwe sleutels genereren.
Een van de belangrijkste wijzigingen in OpenSSH 10.3 is het verwijderen van de code voor "Bugcompatibiliteit" met implementaties die geen ondersteuning bieden voor het opnieuw invoeren van sleutels.Tot nu toe hanteerde het project een reeks interne aanpassingen waardoor het kon blijven communiceren met oudere of niet-standaard SSH-clients of -servers die niet over de mogelijkheid beschikten om sleutels tijdens de sessie opnieuw te onderhandelen.
Vanaf deze versie geldt het volgende: als een De SSH-client of -server ondersteunt geen sleutelvernieuwing.De verbinding met OpenSSH 10.3 zal simpelweg mislukken bij het tot stand brengen van een verbinding of tijdens de sessie. Dit kan gevolgen hebben voor infrastructuren die nog steeds gebruikmaken van verouderde software, embedded apparaten of propriëtaire oplossingen die het SSH-protocol onvolledig implementeren.
Systeembeheerders in organisaties zouden Inventariseer SSH-apparaten en -services Controleer of alle componenten sleutelvernieuwing ondersteunen voordat u een upgrade uitvoert. In implementaties waar oudere hardware of aangepaste software wordt gebruikt, kan het nodig zijn om die componenten te upgraden of te isoleren in segmenten waar OpenSSH 10.3 niet wordt gebruikt.
Oplossing voor de bug waarbij via een gebruikersnaam commando's werden geïnjecteerd.
Op de klant SSH verhelpt een validatielek. Dit maakte het onder bepaalde voorwaarden mogelijk om speciale shell-tekens in de gebruikersnaam uit te breiden vóór de beveiligingscontrole. Het probleem ontstaat bij het gebruik van gebruikersnamen die door derden worden beheerd en geavanceerde configuraties met substitutietokens.
De kwetsbaarheid trof met name configuraties die het token bevatten. %u binnen Match-uitvoeringsblokken in het ssh_config-bestand. In dat scenario zou een aanvaller die de gebruikersnaam die aan het ssh-commando wordt doorgegeven kan beïnvloeden, willekeurige commando's in de shell kunnen uitvoeren door gebruik te maken van metatekenuitbreiding.
De nieuwe versie past de validatievolgorde van deze parameters aan. gevaarlijke uitzetting voorkomen van kwaadwillende gebruikersnamen. Desondanks herinneren ontwikkelaars ons eraan dat het blootstellen van SSH-opdrachtregelargumenten aan onbetrouwbare invoer nog steeds een slechte ontwerppraktijk is, vooral in scripts of geautomatiseerde tools die in grote omgevingen worden gebruikt.
Wijzigingen in de afhandeling van certificaten en hoofdgegevens
OpenSSH 10.3 introduceert een aantal belangrijke aanpassingen aan de SSH-certificaatbeheer en de belangrijkste aspecten ervan. (identiteiten waaraan het certificaat is gekoppeld), met een directe invloed op hoe de toegang wordt gevalideerd.
Fout bij het matchen van hoofdletters met komma's
Er is een fout gecorrigeerd in sshd bij het vergelijken van de hoofdoptie="" Het probleem ontstond door de vermeldingen in authorized_keys met de lijst van principals die in een certificaat waren opgenomen. De fout trad op wanneer een van de principalnamen in het certificaat een komma bevatte, wat in zeer specifieke gevallen tot onjuiste overeenkomsten kon leiden.
Om het probleem te kunnen exploiteren, moest aan verschillende voorwaarden worden voldaan: dat de invoer van authorized_keys bevat meer dan één hoofdsleutel.De bug zorgde ervoor dat de certificeringsinstantie een certificaat uitgaf met meerdere van deze namen, gescheiden door komma's, en dat er gebruik werd gemaakt van door de gebruiker vertrouwde CA-sleutels. De hoofdverificatiestroom voor certificaten, gebaseerd op TrustedUserCAKeys en AuthorizedPrincipalsFile, werd niet beïnvloed.
Certificaten met een lege hoofdlijst
Een andere gedragsverandering corrigeert een problematisch historisch ontwerp in certificatenTot nu toe werd een certificaat met een lege principals-sectie in combinatie met authorized_keys principals="" de facto behandeld als een wildcard, waardoor authenticatie mogelijk was voor elke gebruiker die dezelfde certificeringsinstantie vertrouwde.
Dit bracht een niet voor de hand liggend risico met zich mee: een certificeringsinstantie die per vergissing een certificaat uitgaf certificaat met lege hoofdlijst Het gaf onbedoeld extreem brede toegang. In OpenSSH 10.3 verandert dit, en een certificaat zonder principals wordt nu beschouwd als niet overeenkomend met een principal, waardoor dit gevaarlijke "wildcard"-gedrag wordt voorkomen.
Bovendien heeft het project De behandeling van wildcards in hoofdcertificaten is gestandaardiseerd.Het gebruik van wildcards is toegestaan ​​in hostcertificaten, maar niet in gebruikerscertificaten. Dit is bedoeld voor voorspelbaarder en beter controleerbaar gedrag, iets wat vooral gewaardeerd wordt bij beveiligingsaudits van Europese organisaties die onderworpen zijn aan raamwerken zoals NIS2 of ENS.
Strikte toepassing van ECDSA-algoritmen
In het cryptografische gedeelte corrigeert OpenSSH 10.3 een probleem in de toepassing van de richtlijnen PubkeyAcceptedAlgorithms en HostbasedAcceptedAlgorithms voor ECDSA-sleutels. Tot deze versie accepteerde de server, als de naam van een ECDSA-algoritme in een van deze lijsten voorkwam, de facto andere ECDSA-algoritmen, zelfs als deze niet expliciet in de lijst stonden.
Met de nieuwe herziening, sshd houdt zich nauwkeurig aan de lijst met toegestane algoritmen.Dit dicht die kloof en biedt meer controle over welke ECDSA-varianten gebruikt kunnen worden. Dit is handig voor beheerders die de set algoritmen willen beperken tot robuustere profielen of die willen voldoen aan nationale veiligheidsaanbevelingen.
Correctie in scp bij het downloaden als root
De tool SCP krijgt ook een beveiligingsaanpassing. Bij gebruik in de legacy-modus (rcp-compatibiliteit) en uitgevoerd als root. In eerdere versies verwijderde het programma, bij het downloaden van bestanden zonder de optie -p te gebruiken, de setuid- en setgid-bits niet uit de ontvangen bestanden.
Dit gedrag is overgeërfd van De oorspronkelijke reanimatie van BerkeleyDit kan gevaarlijk zijn bij bepaalde kopieerworkflows, omdat een bestand dat met speciale machtigingen wordt overgedragen, met verhoogde bevoegdheden op het doelsysteem kan worden uitgevoerd. OpenSSH 10.3 corrigeert dit gedrag om de beveiliging bij beheer op afstand te versterken, een veelvoorkomende praktijk op productieservers in datacenters.
Verbeterde ProxyJump-validatie en multiplexing-controle
Wat betreft geavanceerde verbindingsopties introduceert de klant verbeteringen in ProxyJump (-J of -oProxyJump parameter)Gebruikers- en hostwaarden die via de commandoregel worden doorgegeven, worden nu strenger gevalideerd om potentiële injectieaanvallen te voorkomen in configuraties waar deze velden mogelijk beïnvloed worden door onbetrouwbare invoer.
Het is belangrijk om op te merken dat dit Validatie is alleen van toepassing op wat via de commandoregel wordt ontvangen. Het heeft geen invloed op de waarden die in de configuratiebestanden zijn gedefinieerd. Desondanks biedt het een extra beveiligingslaag voor scripts, automatiseringen en tools die ProxyJump dynamisch gebruiken.
Op het gebied van verbindingsmultiplexing is een probleem opgelost met behulp van sessiebevestiging bij gebruik van ControlMaster ask/autoask In proxy-modus met behulp van "ssh -O proxy". Voorheen werden bevestigingsverzoeken in dit type gemultiplexte sessie niet correct verwerkt.
Daarnaast worden er nieuwe commando's toegevoegd om te verkrijgen gedetailleerde informatie over actieve sessiesHet commando "ssh -O conninfo" en de escape-sequentie "~I" tonen verbindingsinformatie voor actieve sessies, terwijl "ssh -O channels" rapporteert welke kanalen het multiplexerproces openhoudt. Deze functies kunnen het oplossen van problemen in complexe implementaties vergemakkelijken, die veel voorkomen bij grote organisaties en serviceproviders in de EU.
Wat is er nieuw in ssh-agent, ssh-add en sleutelbeheer?
OpenSSH 10.3 zet weer een stap vooruit in de afstemming met het IETF-ontwerp draft-ietf-sshm-ssh-agent Wat de SSH-agent betreft, is er compatibiliteit toegevoegd met de nieuwe codepoints die door IANA zijn toegewezen voor agent forwarding. Hierdoor geeft OpenSSH prioriteit aan het gebruik van de gestandaardiseerde identificatoren wanneer de server ondersteuning voor deze namen aankondigt met het EXT_INFO-bericht.
De steun voor de Historische extensies met het achtervoegsel @openssh.comHet waarborgen van interoperabiliteit met bestaande infrastructuren. De ssh-agentcomponent bevat tevens ondersteuning voor de "query"-extensie die in hetzelfde concept is gedefinieerd, waardoor gestructureerder query's op agentfunctionaliteiten mogelijk zijn.
Het nutsbedrijf is op zijn beurt verantwoordelijk voor de bedrijfsvoering. ssh-add voegt de -Q optie toe Om de protocoluitbreidingen op te vragen die de agent ondersteunt. Deze functionaliteit is met name handig voor beveiligings- en operationele teams die moeten controleren welke functies beschikbaar zijn op agents die op verschillende systemen zijn geïmplementeerd.
Op het gebied van sleutels, ssh-keygen biedt nu de mogelijkheid om ED25519-sleutels in PKCS8-formaat te schrijven.Dit vergemakkelijkt de integratie met andere cryptografische tools en bibliotheken die worden gebruikt in het bedrijfsleven en de publieke sector.
Sancties gebaseerd op oorsprong en diagnostische verbeteringen in SSHD
De SSH-server bevat verbeteringen die gericht zijn op het tegengaan van misbruik en het verbeteren van de observeerbaarheid. Een van deze verbeteringen is de introductie van de Invaliduser-penalty binnen PerSourcePenaltiesDit wordt toegepast wanneer inlogpogingen worden ontvangen met gebruikersnamen die niet in het systeem bestaan.
Standaard bestaat deze nieuwe straf uit een wacht vijf secondenDit sluit aan bij de bestaande sanctie voor authenticatiefout, maar beheerders kunnen langere tijdsduren instellen als ze brute-force-aanvallen of massale gebruikerscontroles detecteren. Bovendien is de tijdresolutie van sancties nu zwevende-komma, waardoor sancties van minder dan één seconde mogelijk zijn in scenario's met een hoge frequentie van gebeurtenissen.
Parallel daaraan bieden de hierboven beschreven nieuwe multiplexmogelijkheden ("ssh -O conninfo", "ssh -O channels" en de escape-opdracht "~I") het volgende: meer inzicht in actieve verbindingenDit kan erg nuttig zijn bij het diagnosticeren van latentieproblemen, blokkeringen of abnormaal gebruik van SSH-tunnels en -kanalen.
Meer wijzigingen op het gebied van beveiliging en compatibiliteit.
OpenSSH 10.3 voegt het volgende toe: sshd de serveroptie GSSAPIDelegateCredentialsDeze instelling bepaalt of de server gedelegeerde referenties accepteert die door de client worden aangeboden. Deze optie weerspiegelt het bestaande beleid aan de clientzijde en maakt het mogelijk om het gedrag aan te passen aan het interne beleid van elke organisatie met betrekking tot Kerberos en soortgelijke methoden voor het delegeren van referenties.
De reikwijdte van de De RevokedHostKeys-richtlijnen in ssh_config en RevokedKeys in sshd_configdie nu naar meerdere bestanden kan verwijzen. Dit maakt het eenvoudiger om lijsten met ingetrokken sleutels te beheren, gescheiden per project, afdeling of vertrouwensniveau – handig in grote infrastructuren met meerdere teams en leveranciers.
Deze versie verhelpt ook een aantal praktische problemen: een bug in de PIN-invoer voor PKCS#11-sleutels geïntroduceerd in versies 10.1 en 10.2.De afhandeling van FIDO/WebAuthn-certificaatondertekeningen is verbeterd, een sshd-crash gerelateerd aan ontbrekende subsystem-richtlijnen binnen Match-blokken is verholpen en een probleem met gebruikersverwarring in de PAM-module is opgelost in de draagbare branch.
Met deze release consolideert OpenSSH 10.3 een een uitgebreid pakket aan wijzigingen dat de veiligheid verbetertHet past verouderde gedragingen aan en breidt de beheermogelijkheden uit zonder de compatibiliteit met de meeste moderne implementaties te verliezen. Organisaties die afhankelijk zijn van SSH voor beheer op afstand, automatisering en beveiligde tunneling, doen er goed aan de upgrade te plannen en eerst hun testomgevingen te controleren op mogelijke problemen met verouderde implementaties, ongebruikelijke opties of sterk aangepaste configuraties.
