Noticia Novedades de OpenSSH 10.4: Correcciones en SFTP, SCP y aislamiento estricto en Linux

OpenSSH proporciona un amplio conjunto de capacidades de tunelización segura


Tras tres meses de intenso desarrollo, se ha dado a conocer el lanzamiento de la nueva version de «OpenSSH 10.4». Esta nueva versión no solo se centra en corregir vulnerabilidades críticas, sino que da un paso audaz hacia el futuro de la criptografía y mejora drásticamente la eficiencia en el procesamiento de conexiones seguras.

El avance más llamativo
de esta entrega es la introducción de soporte experimental para la criptografía post-cuántica. Los desarrolladores han integrado un esquema de firma digital compuesta que fusiona la potencia del algoritmo ML-DSA 44 con la probada curva elíptica Ed25519.

Aunque esta característica viene desactivada por defecto, los administradores de sistemas pueden habilitarla manualmente en su configuración y comenzar a generar claves preparadas para resistir los ataques de las supercomputadoras del mañana. A la par de esta innovación, el motor interno de coincidencia de patrones ha sido reemplazado por un autómata finito no determinista, solucionando de tajo los problemas de lentitud y alto consumo de procesamiento que ocurrían al evaluar configuraciones complejas con múltiples comodines.

Prinicipales novedades de OpenSSH 10.4​


El protocolo de transporte ahora es implacable con el cumplimiento del RFC 4253: si un cliente o servidor intenta enviar mensajes no relacionados con el intercambio de claves durante la renegociación, la conexión se fulminará inmediatamente. Esto cierra la puerta a ataques de denegación de servicio donde un actor malicioso podía saturar la memoria del servidor enviando tráfico basura.

Además, en entornos Linux que utilizan el aislamiento mediante seccomp, cualquier fallo al activar las restricciones de seguridad provocará ahora una detención total del servicio, en lugar de simplemente registrar una advertencia y continuar operando de forma vulnerable. Finalmente, el volcado de configuración mediante la línea de comandos ahora respeta las mayúsculas y minúsculas originales de las directivas, facilitando enormemente su lectura y auditoría.

Parches críticos para vulnerabilidades de manipulación y denegación de servicio​


Por la parte de las mejoras de seguridad la nueva version de OpenSSH 10.4 soluciona múltiples brechas que ponían en riesgo la integridad de los archivos y del servidor. Se ha corregido una grave vulnerabilidad en la herramienta de copiado seguro (SCP) que permitía a un servidor malicioso engañar al cliente para escribir archivos en el directorio padre del destino previsto.

De manera similar, se parcheó un fallo en el cliente SFTP que permitía descargas en rutas no autorizadas del sistema local. Otra corrección vital afecta al servidor SFTP interno, donde las líneas de comandos excesivamente largas se truncaban en silencio, provocando que se ignoraran banderas de seguridad cruciales si estas se ubicaban al final de la instrucción.

La estabilidad del servicio ante ataques también ha mejorado de forma considerable, ademas de que tambien se solucionó un problema de denegación de servicio que podía ser explotado antes de la autenticación si la directiva de autenticación GSSAPI estaba activa, y se arregló un fallo lógico que permitía la creación de túneles no deseados al ignorar ciertas reglas de restricción.

A nivel de memoria, el cliente SSH recibió un parche para evitar un error crítico de uso de memoria liberada que ocurría si un servidor malicioso cambiaba su clave de host durante un re-intercambio de claves. Por último, se reforzaron los temporizadores internos para garantizar que siempre se aplique el retraso mínimo entre intentos de autenticación fallidos, frenando en seco los ataques de fuerza bruta.

Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

¿Como instalar OpenSSH en Linux?​


Para quienes estén interesados en poder instalar esta nueva versión de OpenSSH en sus sistemas, de momento podrán hacerlo descargando el código fuente de este y realizando la compilación en sus equipos.

Esto es debido a que la nueva versión aún no se ha incluido dentro de los repositorios de las principales distribuciones de Linux. Para obtener el código fuente, puedes hacer desde el siguiente enlace.

Hecha la descarga, ahora vamos a descomprimir el paquete con el siguiente comando:

tar -xvf openssh-10.4.tar.gz

Entramos al directorio creado:

cd openssh-10.4

Y podremos realizar la compilación con los siguientes comandos:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Continúar leyendo...