您当前的位置:首页 > 电脑百科 > 软件技术 > 应用软件

OpenSSH 8.6发布,完全禁止SHA1算法

时间:2021-04-21 10:46:45  来源:今日头条  作者:虫虫安全

今日,OpenBSD社区发布了OpenSSH最新版本8.6。OpenSSH是100%完整的SSH协议2.0实现,也是目前运行最广泛的服务器端和客户端,是GNU/linux默认安装和启用的服务,其组件中也包括了,更加安全的加密的sftp客户端和服务器。

 

OpenSSH 8.6发布,完全禁止SHA1算法

 

 

重要更改

目前情况下,对SHA-1算法的碰撞攻击的成本已经低于5万美元(约合人民币32万五)。

OpenSSH 8.6发布,完全禁止SHA1算法

 

在SSH协议中,“ssh-rsa”签名方案使用SHA-1哈希算法与RSA公钥算法结合使用。 在OpenSSH 8.6中将会禁用该组合算法的签名方案,使用该组合签名方案的证书和客户端将不能认证通过。在SSH协议中,密钥支持多种算法进行签名。其中“ssh-rsa”密钥可以使用“rsa-sha2-256”(RSA/SHA256)进行签名。更好可选方案包括:

RFC8332 RSA SHA-2签名算法rsa-sha2-256/512。该算法的优点是使用与 “ssh-rsa”完全一致,但使用安全的SHA-2哈希算法。rsa-sha2-256/512算法已经自OpenSSH 7.2开始支持,默认支持。

RFC8709 ssh-ed25519签名算法也已经被支持,自OpenSSH 6.5版本开始在中使用。

RFC5656 ECDSA算法:
ecdsa-sha2-nistp256/384/521。自OpenSSH 5.x版本被支持。

可以用一下命令行手动检查服务器是否使用弱ssh-rsa公钥算法:

ssh -oHostKeyAlgorithms=-ssh-rsa user@host

如果主机密钥验证失败,并且没有其他受支持的主机密钥类型可用,则该主机上的服务器软件应为升级。

OpenSSH最新版本中已经默认启用了UpdateHostKeys选项,帮助自动迁移到更好的算法实现用户登陆。

安全改进

OpenSSH 8.5引入了LogVerbose关键字。用于日志记录的一组模式,启用了该选项后将实现在低特权沙盒sshd进程中运行的代码,日志消息可以利用printf格式字符串构造指定为低特权代码。成功利用低特权的攻击进程可以用来逃避OpenSSH的沙箱,提权到高特权进程。

注意:该漏洞利用,在实践中是极不可能,因为LogVerbose选项默认情况不会启动,只在调试过程中使用。

其他功能更新

sftp-server:添加新的limits@openssh-com协议扩展允许客户端发现各种服务器限制,包括最大数据包大小和最大读取/写入长度。

sftp:使用新的limits@openssh-com扩展名在客户端中选择更好的传输长度。

sshd:在sshd_config中添加ModuliFile关键字以指定包含DH-GEX组的moduli文件的位置。

单元测试:添加了TEST_SSH_ELAPSED_TIMES环境变量,可以用于在测试信息中打印每次测试的经过时间(以秒为单位)。

Bug修复

*ssh_config:同步中的CASignatureAlgorithms列表当前默认的手册页。

ssh:确保退出前调用pkcs11_del_provider()。

ssh,sshd:修复了字符串->argv转换中的问题。多反斜杠未正确引用,导致引号中的空格字符串的中间被错误地分割了的问题。

ssh:被信号杀死时返回非零退出状态;

sftp-server:增加变量SSH2_FXP_READ以匹配最大数目数据包大小。还可以处理未明确显示的零长度读取 规格禁止。

可移植性

sshd:读取网络套接字(例如EINTR,EAGAIN)错误时,错误退出的问题。

创建专用的
contrib/gnome-ssk-askpass3.c源,不使用与GNOME2相同的文件来构建。使GNOME3 gdk_seat_grab()可以更好地管理键盘/鼠标/服务器抓取与Wayland的兼容性。

修复可移植性其他构建错误(bz3293 bz3292 bz3291 bz3278)。

sshd:软禁止Linux中的fstatat64 syscall seccomp-bpf沙箱。

文件校验哈希

下载安装时候请对下载文件校对官方哈希码以保证下载包的安全性和完整性。

OpenSSH 8.6发布,完全禁止SHA1算法

 

openssh-8.6.tar.gz(适用于BSD) 

SHA1 a3e93347eed6296faaaceb221e8786391530fccb

SHA256 ihmgdEgKfCBRpC0qzdQRwYownrpBf+rsihvk4Rmim8M=

openssh-8.6p1.tar.gz(适用于Linxu)

SHA1 8f9f0c94317baeb97747d6258f3997b4542762c0

SHA256 w+bk2hYhdiyFDQO0fu0eSN/0zJYI3etUcgKiNN+O164=

注意,SHA256签名是base64编码的,而不是默认十六进制(这是大多数校验和工具的默认设置)。

PGP校验:请从官方网站
/pub/OpenBSD/OpenSSH/RELEASE_KEY.asc 在线校验。



Tags:OpenSSH   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
今日,OpenBSD社区发布了OpenSSH最新版本8.6。OpenSSH是100%完整的SSH协议2.0实现,也是目前运行最广泛的服务器端和客户端,是GNU/Linux默认安装和启用的服务,其组件中也包括了,更...【详细内容】
2021-04-21  Tags: OpenSSH  点击:(328)  评论:(0)  加入收藏
OpenSSH 8.4 已发布,OpenSSH 是 100% 完整的 SSH 协议 2.0 版本的实现,并且包括 sftp 客户端和服务器支持,它用于远程登录的主要连接工具。OpenSSH 对所有流量进行加密,避免窃听...【详细内容】
2020-09-30  Tags: OpenSSH  点击:(128)  评论:(0)  加入收藏
前言当你有一台云主机,而你又开放了SSH端口,那么请一定要注意及时升级OpenSSH版本。不然有可能因为OpenSSH版本漏洞导致主机被入侵,从而造成你的数据泄露危险。今天以一个小脚...【详细内容】
2020-07-07  Tags: OpenSSH  点击:(688)  评论:(0)  加入收藏
安全部门扫描系统漏洞,OpenSSH 7.9出现漏洞,需升级到8。使用 rpmbuild 将源码包编译为 rpm包。yum install rpm-build zlib-devel openssl-devel gcc perl-devel pam-devel un...【详细内容】
2020-04-04  Tags: OpenSSH  点击:(139)  评论:(0)  加入收藏
导读为什么需要升级OpenSSH?OpenSSH 7.4以下版本存在严重漏洞: OpenSSH 远程权限提升漏洞(CVE-2016-10010) OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478) Openssh MaxAuthTrie...【详细内容】
2019-10-24  Tags: OpenSSH  点击:(166)  评论:(0)  加入收藏
▌简易百科推荐
ACDSee Pro 2.5 和ACDSee 2009(也就是 ACDSee 11)这两个版本,虽然图标最丑,但却是最适合目前使用的版本。(以前的ACDSee 3.1是第三方改装版,现在出现不稳定了,经常提示插件错误,虽...【详细内容】
2021-12-27  周星骋Cheng    Tags:ACDSee   点击:(2)  评论:(0)  加入收藏
IT之家 12 月 23 日消息,百度地图今日宣布,第二代车道级导航正式上线。据介绍,百度地图第二代车道借助北斗 + 5G,在实现全程车道级导航效果的基础上,全面升级最优车道推荐、全 /...【详细内容】
2021-12-24  IT之家    Tags:百度地图   点击:(10)  评论:(0)  加入收藏
推荐12款不用安装就能免费用的神仙软件,每一款都是百里挑一! 一、文件存储与传输1.不限量网盘地址:https://transferkit.io/一个在线云存储网盘,它提供了不限量的云存储空间,单文...【详细内容】
2021-12-17  牛片网    Tags:软件   点击:(15)  评论:(0)  加入收藏
古人说:凡事预则立不预则废,对于我们当代人来说,做好工作计划,更是职场人高效工作的第一步,所以计划对于我们的重要性不言而喻…… 工作表格模板汇总正是因为有了工...【详细内容】
2021-12-15  吴六柒    Tags:工作表格   点击:(32)  评论:(0)  加入收藏
当我们浏览知乎、Youtube、贴吧、CSDN等等,总会遇到服务商一些广告;复制文章的时候,剪切板总是自带一些版权信息;还有一些网页配色很亮,眼睛看着很不舒服。反正就是各种不爽。给...【详细内容】
2021-12-08  小皮虾Pro    Tags:浏览器   点击:(27)  评论:(0)  加入收藏
来源:AirPython作者:星安果 1. 前言大家好,我是安果!之前推荐过很多优秀的 Web 自动化工具,比如:Selenium、Helium、Cypress、Pyppeteer 等利用它们实现自动化的前提是必须安装依...【详细内容】
2021-11-30  CDA数据分析师    Tags:Automa   点击:(30)  评论:(0)  加入收藏
概述superset是由Airbnb开源的轻量级BI分析工具。主要有三大功能:使用数据可视化来探索你的数据,通过交互式的Dashboard来查看你的数据,通过Sql Lab来编写sql查询你的数据。特...【详细内容】
2021-11-30  新视像    Tags:Superset   点击:(21)  评论:(0)  加入收藏
媒体爆料称:近期,老牌音乐播放器Winamp宣布回归,官方网站也大改后重新上线。官方表示:不只是简单更新而是全面重制。新的Winamp 将推出适用于 Windows、macOS 和移动平台的多合...【详细内容】
2021-11-26    中关村在线  Tags:Winamp   点击:(23)  评论:(0)  加入收藏
新版高德地图上线 ADAS 预警导航功能,借助视觉 AI 技术,可智能识别前方车辆、行人,并提供碰撞预警、车道偏离等多种安全提醒,防止风险的发生。 在小联的调研中,只有6%的车机体验...【详细内容】
2021-11-23  手机互联    Tags:高德地图   点击:(143)  评论:(0)  加入收藏
朋友委托我帮忙看看可用邮箱大全有哪些?好用的企业邮箱是多少?他公司要开通企业邮箱。相信很多公司在考虑开通企业邮箱时,都会遇到这样的问题,企业邮箱哪个好?怎样选择合适的企业...【详细内容】
2021-11-11  超级打工人    Tags:企业邮箱   点击:(30)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条