El equipo de desarrollo de OpenSSH, el popular software que tiene integrado el protocolo SSH 2.0 al 100%, incluyendo servidor y cliente SFTP para la transferencia de archivos de manera segura. La nueva versión OpenSSH 7.3 viene cargada con una gran cantidad de novedades y correcciones de seguridad.
Anuncio de la retirada de algunas
funciones consideradas “obsoletas”
- En el changelog de esta nueva versión OpenSSH 7.3 se ha anunciado la retirada de algunas funciones obsoletas que aún siguen estando presentes, anuncian este cambio de cara a que los administradores de sistemas tomen las medidas oportunas.
- Lo primero que harán es retirar todas las clases RSA menores a 1024 bits por estar consideradas “rotas”, además, también se quitará la compatibilidad con el protocolo SSH versión 1.0 porque no es seguro desde hace años, de hecho, esta nueva versión OpenSSH 7.3 por defecto no se compila esta versión. Han anunciado que en 1 año eliminarán cualquier tipo de soporte para SSH versión 1.0.
- Los principales cambios en OpenSSH 7.3 están relacionados con la seguridad. En sshd (servidor SSH) se ha mitigado un potencial ataque de denegación de servicio contra el servicio crypt, si un usuario malintencionado enviada contraseñas muy largas, podría causar un consumo excesivo de CPU. Ahora sshd no permite tener contraseñas de más de 1024 caracteres. También se ha mitigado las diferencias de tiempo en la autenticación con contraseñas, ya que con claves muy largas podría haber un desfase de tiempo muy importante si el usuario legítimo ha cambiado la clave en ese momento.
- Respecto al esquema de cifrado CBC, aunque está por defecto deshabilitado en la compilación de SSH, se han corregido algunos fallos por si el usuario lo utiliza.
- Algunas de las nuevas características introducidas en ssh (cliente SSH) es la opción de ProxyJump para conectarnos fácilmente a través de uno o más servidores SSH como pivotes, además, se ha añadido la opción IdentityAgent y se han habilitado las opciones ExitOnForwardFailure y ClearAllForwardings. Otra característica interesante para ssh y sshd es que se ha añadido soporte para Diffie-Hellmann con claves de 2048, 4096 y 8192 bits utilizando el método de intercambio de claves draft-ietf-curdle-ssh-kex-sha2-03. También se ha añadido el soporte con los algoritmos de hash SHA256 y SHA512 para las firmas de los certificados RSA.
