OpenSSH

Nedávné aktualizace Windows 11 22H2 a 23H2 v některých případech rozbíjí OpenSSH server.  Jde o říjnovou aktualizaci KB5044285 a předběžnou aktualizaci KB5044380. V některých případech nenastartuje služba OpenSSH bez hlášení jakékoli chyby. Podle…

Na platformě Windows nově Firefox 132 podporuje přehrávání šifrovaných médií skrze Microsoft PlayReady, a to v 1080p i 4k/UltraHD, přičemž Mozilla postupně rozšiřuje množství partnerů, kteří přehrávání na Firefoxu podporují. Pro Windows a macOS je…

Na jaře jsme psali o tom, že vývojáři OpenSSH mají v plánu démona sshd rozdělit na několik samostatných částí. Cílem je oddělit privilegia jednotlivých komponent, aby každá z nich dělala jen nutné minimum. Nyní vznikla samostatná binárka sshd-auth,…

Byla uvolněna nová verze balíku OpenSSH 9.9, která přináší nový hybridní postkvantový algoritmus výměnu klíčů založenou na FIPS 203 Module-Lattice Key Enapsulation (ML-KEM) v kombinaci s X25519 ECDH, jak je popsáno v návrhu standardu PQ/T Hybrid…

Nejnovější verze OpenSSH automaticky blokuje hádání hesel. Funkce je navíc automaticky zapnutá. V článku se podíváme na to, jak přesně blokování funguje, jak se dá jeho chování nastavit a zda automatická aktivace nové funkce může představovat problém.

Zranitelnost označená jako CVE-2024–6409 (skóre CVSS: 7.0) ohrožuje některé verze OpenSSH a lze ji zneužít ke vzdálenému spuštění kódu (RCE). Tato zranitelnost se liší od nedávno zveřejněné chyby RegreSSHion, protože nyní zneužití probíhá…

V dnešním díle postřehů se zaměříme na spolupráci Europolu a národních agentur, vezmeme si do hledáčku zranitelnost v OpenSSH, na chvíli si odskočíme do Brazílie a na závěr se podíváme, co mají společného MikroTiky s DDoS útoky.

Qualys dnes zveřejnil detaily kritické zranitelnosti OpenSSH na Linuxu s glibc (tedy téměř všechny distribuce, kromě Alpine) CVE-2024–6387. Chyba je přezdívaná „regreSSHion“. Chyba může být zneužita ke vzdálenému spuštění libovolného kódu s právy…

Damien Miller zahájil v kódu OpenSSH proces rozdělení sshd na více binárních souborů. V prvním kroku se sshd rozdělí na binárky obsahující zvlášť listener a obsluhu uživatelských relací. V plánu jsou ještě další rozdělení na menší bezpečnější…

Vývojáři společnosti Red Hat varovali uživatele před upravenou verzí nástroje XZ, která obsahovala zadní vrátka a ovlivňovala fungování SSH. Šlo o velmi chytrou a dobře ukrytou sabotáž, která byla odhalena jen náhodou.

Vývojáři uvolnili OpenSSH verze 9.7, plnohodnotnou implementaci protokolu SSH 2.0 a s ním souvisejících nástrojů. Novinkou je globální volba ChannelTimeout, která umožňuje zavírat otevřené kanály, na kterých není žádný provoz. Jde o doplněk…

Projekt OpenSSH oznámil své plány na odstranění podpory zastaralého algoritmu DSA. Mělo by k tomu dojít na začátku roku 2025. Jediným zbývajícím místem pro použití DSA by v tuto chvíli měla být velmi zastaralá zařízení. Proto již vývojáři…

Před dvěma týdny byla odhalena zranitelnost SSH nazvaná Terrapin, která umožňuje útočníkovi odstranit libovolné množství zpráv odeslaných klientem nebo serverem na začátku použití zabezpečeného kanálu, aniž by si toho jedna ze stran všimla…

Velice rychle po zveřejnění chyby vedoucí k útoku pojmenovanému Terrapin Attack vyšla opravná verze OpenSSH 9.6, právě tento útok řešící. Bezpečnostních oprav je v oznámení této verze popsáno vícero, týkají se vedle zranitelnosti v SSH protokolu…

Terrapin je útok na zkrácení prefixu protokolu SSH, který narušuje integritu zabezpečeného komunikačního kanálu. Pečlivou úpravou sekvenčních čísel během handshaku může útočník odstranit libovolné množství zpráv odeslaných klientem nebo serverem na…

Red Hat Enterprise Linux 10 definitivně opustí X.Org a přejde na Wayland. Firma Xiaomi uvolnila svou IoT platformu Vela pod svobodnou licencí. Vyšlo FreeBSD 14.0, nové velké vydání tohoto svobodného operačního systému.

Projekt OpenBSD oznámil po půl roce další pravidelné vydání, tentokrát s označením 7.4. Nová verze umožňuje lépe uspávat procesory Apple M1/M2, řeší chybu Zenbleed na procesorech AMD, vylepšuje virtualizaci pomocí VMM/VMD a rozšiřuje podporu…

Vývojáři uvolnili OpenSSH verze 9.5. Tato verze při generování klíčů vytváří ve výchozím stavu pár klíčů pro algoritmus eliptických křivek Ed25519, přičemž doposud do byl algoritmus RSA. Klíče Ed25519 jsou pro SSH specifikovány v RFC 8709 a OpenSSH…

Včera vyšlo OpenSSH 9.4. Nově budou podporovány rozšíření pro KRL (key/certificate revocation list), ale zatím taková nejsou. Nově také ssh-keygen ve výchozím nastavení přidává o 50 % více iterací bcrypt KDF. Dále je možné nově forwardovat i Unix…

Bylo vydáno OpenSSH 9.3, které přináší několik oprav bezpečnostních chyb a přidává možnost výběru hašovacího algoritmu do utility ssh-keygen a možnost kontroly konfigurace bez načítání soukromých klíčů. Tato verze obsahuje opravy bezpečnostního…

Včera vyšlo OpenSSH 9.2. Mezi opravami je oprava double-free zranitelnosti z OpenSSH 9.1. Vývojáři se domnívají, že tato chyba není zneužitelná a objevuje se před autentizací, kdy většinou bývá ssh v nějakém sandboxu. Nová je možnost nastavit…

Po půl roce od předchozího vydání je tu OpenSSH s označením 9.1. Opravuje tři problémy s bezpečným přístupem k paměti. „Žádný z nich není považován za zneužitelný, ale z opatrnosti nahlašujeme většinu problémů s paměťovou bezpečností jako…

Vývojáři OpenSSH už od roku 2019 varují před protokolem SCP, který je zastaralý a jednoduše neopravitelný. Doporučují místo něj používat moderní náhrady jako SFTP nebo rsync. Jak SCP funguje a kde je problém?

Pět měsíců po předchozím vydání vychází nové OpenSSH s označením 8.9. Hlavní novinkou je možnost v SSH agentovi omezit možnost použití klíčů na vzdálených strojích. Cílem je lepší ochrana klíčenky v případě, že je její rozhraní přesměrováno na…

Vývojáři uvolnili novou verzi balíku OpenSSH s označením 8.8. Hlavní novinkou je vypnutí podpory protokolu ssh-rsa, který staví na slabém hašovacím algoritmu SHA-1. Na změnu upozorňovalo několik předchozích verzí, většina uživatelů si navíc ničeho…

Po více než dvou letech vývoje vyšel Debian 11. Linuxová distribuce Zorin OS má novou edici. Projekt TalkingParabola integruje funkci pro přístupnost z Arch Linuxu do distribuce Parabola GNU/Linux-libre.

Vývojáři uvolnili novou verzi OpenSSH s označením 8.7. Utilita scp nyní obsahuje podporu pro přenos souborů pomocí pokročilejšího protokolu SFTP. Zatím je potřeba si o ni explicitně říct pomocí přepínače -s, ale v „blízké budoucnosti“ se tento stav…

Vývojáři po necelých pěti měsících uvolnili novou verzi balíku OpenSSH s označením 8.5. Opravuje několik potenciálních bezpečnostních problémů, především ale znovu upozorňuje na blížící se ukončení podpory algoritmu ssh-rsa, o kterém se mluví už…

Projekt OpenBSD slaví své 25. narozeniny a při té příležitosti vydal novou verzi OpenBSD 6.8. Ta přináší především podporu platformy powerpc64 s podporou PowerNV systémů s procesory POWER8 a POWER9. Kromě toho nová verze přináší také lepší…

V souvislosti s vydáním OpenSSH verze 8.3 proběhly minulý týden internetem zprávy o budoucím vypnutí podpory algoritmu ssh-rsa. Co přesně to znamená a proč není potřeba propadat panice?