OpenSSL 7.0 descarta criptografa antiga e insegura

criptografiaO OpenSSH criptografa todo o tráfego (inclusive senhas) para eliminar, de forma eficaz, espionagens, sequestro de conexão e outros ataques. Além disso, oferece recursos de tunneling seguros e diversos outros métodos de autenticação, além de suportar todas as versões do protocolo SSH.

Segurança

– SSHD (8): OpenSSH 6.8 e 6.9 incorretamente faz com que TTYs sejam graváveis. Atacantes locais podem ser capazes de escrever mensagens arbitrárias para usuários logados, incluindo sequências de escape terminal.
– SSHD (8): OpenSSH portátil somente: Corrigiu uma fraqueza de separação de privilégios relacionadas com suporte a PAM. Atacantes poderiam comprometer com êxito o processo de pré-autenticação para execução remota de código e que tinham credenciais válidas no host poderiam se passar por outros usuários.
– SSHD (8): OpenSSH portátil apenas: corrigiu um bug relatado ao suporte a PAM que era alcançável por invasores que poderiam comprometer o processo de pré-autenticação para execução remota de código.
– SSHD (8): fixou a evasão de MaxAuthTries usando autenticação de teclado interativo.

Alterações potencialmente incompatíveis
– O suporte para a antiga versão 1 do protocolo SSH está desativado por padrão em tempo de compilação.
– O suporte para o 1024-bit Diffie-Hellman-group1-sha1 de troca de chaves é desabilitada por padrão em tempo de execução.
– Suporte para ssh-dss, ssh-dss-cert-* chaves de host e do usuário é desativado por padrão em tempo de execução.

Novidades

– ssh_config (5): adiciona a opção PubkeyAcceptedKeyTypes para controlar quais tipos de chaves públicas estão disponíveis para autenticação do usuário.
– sshd_config (5): adiciona a opção HostKeyAlgorithms para controlar quais os tipos de chaves públicas são oferecidos para as autenticações de hosts.
– ssh (1), sshd (8): estende cifras, MACs, KexAlgorithms, HostKeyAlgorithms, PubkeyAcceptedKeyTypes e  HostbasedKeyTypes para permitir a anexação ao conjunto padrão de algoritmos, em vez de substituí-lo.

Acesse o conteúdo completo da notícia no link.