Tags Posts tagged with "openssh"

openssh

przez -
0 1290
OpenSSH

Ogłoszono wydanie OpenSSH 7.3, wolnej implementacji protokołu SSH (Secure Shell), który zapewnia szyfrowaną komunikację pomiędzy komputerami. Program dostępny jest na licencji BSD oraz działa na wielu systemach operacyjnych. Usunięto potencjalny atak DoS na funkcję szyfrującą. Udoskonalono operację żądania weryfikacji adresów MAC dla trybu Encrypt-then-MAC. Naprawiono sporo innych błędów. Pojawiły się dwie nowe opcje, jak: ProxyJump, IdentityAgent. Dodano obsługę sygnatur RSA: SHA256 i SHA512 w certyfikatach.

przez -
0 386
OpenSSH

Ogłoszono wydanie OpenSSH 7.1p2, wolnej implementacji protokołu SSH (Secure Shell), który zapewnia szyfrowaną komunikację pomiędzy komputerami. Program dostępny jest na licencji BSD oraz działa na wielu systemach operacyjnych. Usunięto wykrytą podatność CVE-2016-0777, która okazała się niezwykle podobna do tzw. ataku Heartbleed. Błąd znajduje się po stronie klienta i pozwalał na wyciągnięcie prywatnych kluczy na specjalnie spreparowany prywatny serwer.

Od wersji OpenSSH 5.4 klient wspiera nieudokumentowaną funkcję zwaną roaming. Jeżeli połączenie do serwera SSH zostanie niespodziewanie zerwane, a serwer wspiera także roaming, to klient spróbuje się ponownie podłączyć i przywrócić utraconą sesje. Roaming jest domyślnie włączony na kliencie OpenSSH, nawet jeżeli serwer OpenSSH nie wspiera tej funkcji.

Jak wspomnieliśmy na początku, błąd jest bardzo podobny do ataku Heartbleed, który został wykryty w bibliotece OpenSSL. W przypadku Heartbleed dowolna osoba z odpowiednimi umiejętnościami komputerowymi, mogła włamać się na dowolną stronę, przy użyciu OpenSSL. W przypadku CVE-2016-0777 wykradnięcie prywatnych kluczy może mieć miejsce tylko, jeżeli użytkownik końcowy podłączy się do specjalnie spreparowanego serwera.

przez -
4 1742
OpenSSH

W połowie czerwca tego roku pisaliśmy o rozpoczęciu prac nad dodaniem obsługi OpenSSH pod PowerShell. Microsoft przygotowano wtedy specjalne serwerowe narzędzie o nazwie PowerShell DSC (Desired State Configuration), które posiadało kilkanaście modułów do obsługi podstawowych komend pod Linuksem. Firma nawiązała także współpracę z przedsiębiorstwem NoMachine, która zajmuje się tworzeniem oprogramowania do zdalnego łączenia się z komputerami. W ich ofercie od pewnego czasu dostępny był także port OpenSSH 5.9 dla systemu Windows. Kilka miesięcy pracy deweloperów i Microsoft finalnie upublicznił cały kod OpenSSH dla systemów Windows.

Oprogramowanie bazuje na OpenSSH 7.1 dla systemów BSD i Linux. Oto plany dalszego rozwoju:

  • Zwiększyć udział windowsowego API do szyfrowania, zamiast tego z OpenSSL/LibreSSL. Uruchamiać całość, jako usługę systemu Windows
  • Rozwiązać wszystkie możliwe problemy ze zgodnością z POSIX
  • Ustabilizować kod i naprawić wszystkie problemy
  • Wydać wszystko, gotowe do produkcyjnego wdrożenia

Microsoft planuje zakończyć całość w okolicy pierwszej połowy 2016 roku. Warto zapoznać się z pełną dokumentacją: instalacji i konfiguracji, przykładami użycia oraz konwersją formatu plików.

przez -
0 1046
Bezpieczeństwo i szyfrowanie

Canonical wydało biuletyn Ubuntu Security Notice USN-2710-1, w którym zaleca natychmiastową aktualizację OpenSSH do najnowszej dostępnej wersji. W Ubuntu 15.04 jest to pakiet openssh-server 1:6.7p1-5ubuntu1.2, w Ubuntu 14.04 LTS będzie to openssh-server 1:6.6p1-2ubuntu2.2, a Ubuntu 12.04 LTS natomiast paczka openssh-server 1:5.9p1-5ubuntu1.6.

Pierwszy błąd został odkryty przez dewelopera Moritza Jodeita. Okazuje się, że OpenSSH nieprawidłowo obsługuje nazwy użytkowników, podczas uwierzytelniania PAM. Jeżeli odkryto by dodatkową podatność w nieuprzywilejowanych procesach potomnych OpenSSH, to wspomniana wcześniej luka, pozwoliłaby na zdalny atak z wykorzystaniem profilu użytkownika.

Drugą podatność znalazł Jann Horn. OpenSSH nieprawidłowo obsługuje czas systemu Windows dla wielu połączeń. Można to wykorzystać do wykonania zdalnego ataku poprzez obejście niektórych ograniczeń dostępu (CVE-2015-5352).

Na koniec odkryto także podatność z nieprawidłową obsługą uwierzytelniania przy pomocy klawiatury. Atakujący może wykorzystać odpowiednio spreparowany kod, np.
ssh -lusername -oKbdInteractiveDevices=`perl -e 'print "pam," x 10000'` targethost
i wprowadzić do 10 000 haseł, będąc ograniczonym jedynie czasem domyślnej sesji logowania (CVE-2015-5600).

przez -
0 874
OpenSSH

Ogłoszono wydanie OpenSSH 7.0, wolnej implementacji protokołu SSH (Secure Shell), który zapewnia szyfrowaną komunikację pomiędzy komputerami. Program dostępny jest na licencji BSD oraz działa na wielu systemach operacyjnych. Standardowo naprawiono znalezione błędy bezpieczeństwa. Wyłączono sporo mało bezpiecznych opcji oraz obsługę dla starej wersji protokołu SSH. Dodano możliwość kontroli typów kluczy (opcje PubkeyAcceptedKeyTypes i HostKeyAlgorithms), które są używane do uwierzytelniania użytkowników i hostów.

Pojawiła się możliwość dodawania nowych algorytmów szyfrujących do domyślnego zbioru zamiast ich zastępowania (rozszerzono opcje Ciphers, MAC, KexAlgorithms, HostKeyAlgorithms, PubkeyAcceptedKeyTypes i HostbasedKeyTypes). Wyłączono całkowicie bezpośrednie logowanie się, jako root jeśli nie mamy w systemie klucza SSH.

przez -
0 1233
OpenSSH

Ogłoszono wydanie OpenSSH 6.9, wolnej implementacji protokołu SSH (Secure Shell), który zapewnia szyfrowaną komunikację pomiędzy komputerami. Program dostępny jest na licencji BSD oraz działa na wielu systemach operacyjnych. Naprawiono całą masę znalezionych błędów z wydania OpenSSH 6.8. Pojawiły się nowe funkcje w ssh, sshd, ssh-keygen i ssh-agent. Głównym szyfratorem jest od teraz adres chacha20-poly1305@openssh.com. Deweloperzy pracują także nad wydaniem OpenSSH 7.0, które porzuci obsługę OpenSSH 1.0, a opcja PermitRootLogin będzie ustawiona domyślnie na no.

przez -
17 2135
Microsoft

Angel Calvo z zespołu zajmującego się rozwojem PowerShell ogłosił dodanie wsparcia dla OpenSSH. Wiadomość jest bardzo zaskakująca i wiele osób pewnie nie jest w stanie w to uwierzyć. Sam Angelo Calvo stwierdza, że była to jedna z najważniejszych funkcji, jakiej oczekiwali administratorzy systemów od wielu lat. Kod dostępny jest na GitHubie i współpracuje pod następującymi systemami operacyjnymi: CentOS, Debian GNU/Linux, Oracle Linux, Red Hat Enterprise Linux, SUSE Linux Enterprise Server, Ubuntu Server.

Przygotowano specjalne serwerowe narzędzie o nazwie PowerShell DSC (Desired State Configuration), które posiada kilkanaście modułów:

  • nxArchive: upewnia się, czy archiwum (TAR lub GZIP) zostało wypakowane do zadanego katalogu, przy każdej aktualizacji spakowanego pakiety.
  • nxEnvironment: zarządza zmiennymi środowiskowymi
  • nxFile: zarządza plikami i katalogami. Kontroluje prawa dostępu, sprawdza czy istnieją pliku lub katalogi, synchronizuje zawartość katalogu lub pliku ze źródła do docelowego miejsca, definiuje zawartość pliku i wiele więcej.
  • nxFileLine: sprawdza, czy plik zawiera specyficzną linię i nie zawiera konkretnych pasujących znaków w linii.
  • nxGroup: zarządza lokalnymi grupami użytkowników Linuksa.
  • nxPackage: zarządza instalacją pakietów pod Linuksem. Wspierane są następujące menedżery pakietów: Yum, Apt, Zypper oraz samodzielne pakiety: RPM lub DEB z lokalnego serwera FTP lub strony internetowej.
  • nxScript: zarządza konfiguracją z własnymi skryptami.
  • nxService: zarządza wszystkim usługami (demonami) w systemie Linux.
  • nxSshAuthorizedKeys: zarządza zdefiniowanymi i uwierzytelnionymi publicznymi kluczami SSH dla danego konta użytkownika.
  • nxUser: zarządza lokalnymi użytkownikami Linuksa.

David Jones przygotował serię artykułów, jak skonfigurować narzędzia Desired State Configuration z oficjalnego repozytorium.

przez -
2 461
OpenSSH

Ogłoszono wydanie OpenSSH 6.7, wolnej implementacji protokołu SSH (Secure Shell), który zapewnia szyfrowaną komunikację pomiędzy komputerami. Program dostępny jest na licencji BSD oraz działa na wielu systemach operacyjnych. Trwają dalsze prace nad przebudową kodu, Twórcy chcą uczynić z OpenSSH użyteczna bibliotekę, aczkolwiek nowe API jest wciąż niestabilne. Dodano obsługę ssh/sshd dla przekierowywania uniksowych socketów domenowych, wsparcie dla wznawiania przerwanego transferu SFTP. Naprawiono sporo błędów i dokonano wielu innych zmian.

Portable OpenSSH otrzymało wsparcie dla kompilacji z użyciem libressl-portable oraz naprawiono sporo błędów.

Polecane

Jesień Linuksowa

1 728
Polska Grupa Użytkowników Linuksa ma zaszczyt zaprosić na konferencję Jesień Linuksowa 2017, która odbędzie się w dniach 22 – 24 września 2017 roku. Jako...