Zuletzt aktualisiert am
Linux News & Tutorials
Bobby 🇬🇧 Borisov

OpenSSH 10.3 bietet Aktualisierungen und Verbesserungen für die Agent-Weiterleitung

Bobby Borisov 😛 Christian Spaan

OpenSSH 10.3 bietet Sicherheitskorrekturen, neue SSH-Funktionen sowie Verbesserungen bei der Agent-Weiterleitung, beim Multiplexing und bei der Schlüsselverwaltung.
Eine Übersetzung von 🇬🇧 Linuxiac.com

Das OpenSSH-Projekt, das unter dem Dach von OpenBSD entwickelt und gepflegt wird, hat die Veröffentlichung von OpenSSH 10.3 bekannt gegeben, einem Wartungsupdate, das nun auf den offiziellen Mirrors des Projekts zum Download bereitsteht.

Diese Version enthält mehrere Änderungen, die möglicherweise zu Inkompatibilitäten führen können. OpenSSH unterstützt keine älteren Implementierungen mehr, die kein Rekeying zulassen; diese Verbindungen schlagen nun fehl, wenn ein Rekeying erforderlich ist. Außerdem werden Zertifikate mit leeren Prinzipalen nicht mehr als Platzhalter behandelt.

Auch die Wildcard-Übereinstimmung bei Zertifikaten hat sich geändert. Wildcards werden nun durchgängig für Host-Zertifikate unterstützt, für Benutzerzertifikate jedoch nicht mehr akzeptiert. Zudem validiert der SSH-Client nun Benutzer- und Hostnamen, die über die Befehlszeile für ProxyJump-Optionen -J angegeben werden, wodurch das Risiko von Shell-Injektionen durch nicht vertrauenswürdige Eingaben verringert wird.

OpenSSH 10.3 behebt mehrere Sicherheitsprobleme. Eine SSH-Sicherheitslücke könnte die Ausführung von Befehlen in Konfigurationen ermöglichen, in denen benutzergesteuerte Eingaben durch Konfigurationstoken erweitert werden. Ein weiteres sshd-Problem könnte unter bestimmten Bedingungen zu einer falschen Principal-Übereinstimmung führen, wenn Zertifikate in authorized_keys durch Kommas getrennte Werte enthalten. Die Version behebt außerdem ein seit langem bestehendes SCP-Problem, bei dem die setuid- und setgid-Bits beim Herunterladen von Dateien als root im Legacy-Modus nicht gelöscht wurden.

Weitere Korrekturen verbessern die Algorithmusverarbeitung für ECDSA-Schlüssel und stellen sicher, dass nur explizit konfigurierte Algorithmen akzeptiert werden. Probleme bei den Bestätigungsprüfungen für das Verbindungs-Multiplexing wurden ebenfalls behoben. Andere kleinere Korrekturen erhöhen die Robustheit bei Konfigurationsanweisungen, der PAM-Integration und der Protokollierung.

Was neue Funktionen betrifft, unterstützt OpenSSH nun von der IANA zugewiesene Codepunkte für die SSH-Agent-Weiterleitung, was der laufenden Standardisierung entspricht. Die Tools ssh-agent und ssh-add unterstützen nun die Abfrage von Protokollerweiterungen, einschließlich einer neuen Option -Q in ssh-add.

Zu den Verbesserungen der Benutzerfreundlichkeit gehören neue Multiplexing-Befehle in SSH. Benutzer können nun Verbindungsdetails mit ssh -O conninfo abfragen und aktive Kanäle mit ssh -O channels überprüfen. Darüber hinaus liefert die neue Escape-Sequenz ~I ähnliche Informationen während interaktiver Sitzungen.

Im Bereich der Konfiguration wurde die Unterstützung für mehrere Dateien in den Direktiven RevokedHostKeys und RevokedKeys hinzugefügt. Zudem enthält der sshd-Server nun eine „invaliduser“-Sperre in PerSourcePenalties, wodurch Administratoren fehlgeschlagene Anmeldeversuche für nicht existierende Benutzer verwalten können. Die zeitliche Genauigkeit der Sperren wurde zudem durch die Verwendung von Gleitkommawerten verbessert.

Zu den Verbesserungen bei der Schlüsselverwaltung gehören schließlich die Unterstützung für das Schreiben von ED25519-Schlüsseln im PKCS8-Format sowie eine erweiterte Unterstützung für FIDO/WebAuthn-Signaturen, die nun standardmäßig aktiviert ist. Auch die Leistung wurde verbessert, insbesondere beim Schlüsselaustauschalgorithmus sntrup761.

Weitere Informationen finden Sie im Changelog.

 

Spendieren Sie Bobby einen ☕ Ko-fi

s3n🧩net wünscht viel Vergnügen

Comments

Featured

Follow us

Authors

Tags