Zum Inhalt springen

OpenSSH 8.1 veröffentlicht

| market

Das Programmpaket OpenSSH zur verschlüsselten Datenübertragung ist in Version 8.1 erschienen und adressiert, dem Versionshinweis zufolge, primär Fehlerbereinigungen; beherbergt aber auch einige, zum Teil nicht abwärtskompatible, Änderungen.

Laut Versionsverlauf wurde mit einem Sicherheitspatch ein Integerüberlauffehler behoben. Das Problem wurde im Code für die Kontrolle von XMSS-Schlüsseln (eXtended Merkle Signature Scheme) gefunden. Standardmäßig wurden diese noch experimentellen Schlüssel von OpenSSH bisher jedoch nicht unterstützt und hätten explizit aktiviert werden müssen.

Der zweite Sicherheitspatch soll private Schlüssel gegen spekulative und speicherbezogene Seitenkanalangriffe sichern, wie sie beispielsweise von Spectre, Meltdown und Rambleed ausgenutzt werden. Es geht um nicht verwendete Schlüssel im Arbeitsspeicher. Diese werden mit einem symmetrischen Schlüssel, welcher aus einem relativ großen sog. Prekey abgeleitet wird, verschlüsselt. Dieser Prekey besteht aus 16kB großen Zufallsdaten.

Eine weitere Änderung betrifft den Einsatz von OpenSSH als CA (Certification Authority) für die Signatur von Zertifikaten. Wird dabei ein RSA-Schlüssel benutzt, kommt jetzt standardmäßig der Algorithmus rsa-sha5-512 zum Einsatz. Dadurch sind die Zertifikate inkompatibel mit Versionen vor OpenSSH 7.2. Der Nutzer kann diese Voreinstellung aber selber ändern.

Weitere Änderungen und Verbesserungen sind in dem offiziellen Versionshinweis auf openssh.com zu finden.