OpenSSH ha lanzado su nueva versión 9.8, que llega con importantes mejoras de seguridad, la corrección de dos vulnerabilidades y la eliminación de soporte para DSA. Esta actualización es crucial para los administradores y usuarios que buscan mantener sus sistemas seguros y actualizados. Aquí te presentamos un resumen de las novedades más destacadas de esta versión.
Principales Novedades de OpenSSH 9.8
1. Corrección de Vulnerabilidades
Vulnerabilidad crítica CVE-2024-6387: La nueva versión de OpenSSH aborda una vulnerabilidad crítica conocida como regreSSHion. Esta vulnerabilidad podría haber permitido a atacantes comprometer la seguridad de las conexiones SSH.
Protección contra ataques de canal lateral: OpenSSH 9.8 también corrige una vulnerabilidad menos grave que permitía eludir las protecciones contra ataques de canal lateral, introducidas en la versión 9.5. Estos ataques analizan los tiempos entre pulsaciones de teclas para reconstruir la entrada del usuario, poniendo en riesgo la confidencialidad de los datos transmitidos.
2. Adiós al Soporte DSA
Una de las medidas más significativas de esta versión es la eliminación del soporte para firmas digitales basadas en el algoritmo DSA. Aunque esta eliminación no es completamente nueva, ya que el soporte DSA estaba planeado para ser deshabilitado en versiones anteriores, ahora se ha oficializado su eliminación total del código base para principios de 2025. Este cambio se debe a que DSA no cumple con los estándares modernos de seguridad, y su eliminación fomentará que otras implementaciones SSH y bibliotecas criptográficas también desaprueben su uso.
3. Nuevas Medidas de Seguridad
Protección contra ataques automatizados: Se ha implementado un nuevo modo de protección predeterminado en sshd para mitigar ataques automatizados que intentan establecer múltiples conexiones. Esta protección monitoriza los intentos fallidos de autenticación y la finalización anormal de procesos secundarios, bloqueando los ataques de fuerza bruta de contraseñas.
Parámetros configurables: Los administradores pueden ajustar el umbral de bloqueo y otras configuraciones relacionadas con la protección contra ataques utilizando los parámetros PerSourcePenalties, PerSourceNetBlockSize y PerSourcePenaltyExemptList.
4. Mejoras en sshd
División de sshd en ejecutables independientes: El proceso sshd-session ahora se separa de sshd, manejando tareas específicas relacionadas con el procesamiento de la sesión. Esta separación permite que sshd se enfoque en aceptar conexiones de red, verificar configuraciones y gestionar procesos de inicio.
Optimización en la versión portátil: La versión portátil de sshd ha optimizado el manejo de archivos generados automáticamente, asegurando que se guarden en una rama específica de Git, facilitando la sincronización y la gestión de versiones.
5. Actualizaciones Adicionales
- Mensajes de error más claros: Los mensajes de error en los registros ahora utilizan nombres de proceso como «sshd-session» en lugar de «sshd», mejorando la claridad y el seguimiento.
- ssh-keyscan: Esta utilidad ahora genera información de versión del protocolo y nombre de host en una secuencia estándar en lugar de STDERR. La salida se puede deshabilitar con la opción
-q. - Configuración de algoritmos de clave de host: En
ssh, se puede desactivar la reversión del uso de un certificado de clave de host a claves de host simples mediante la directivaHostkeyAlgorithms. - Compatibilidad con systemd en sshd portátil: Ahora soporta enviar notificaciones a systemd al crear o reiniciar un socket de red de escucha, utilizando código independiente de
libsystemd.
Conclusión
La actualización a OpenSSH 9.8 es esencial para mantener la seguridad y eficiencia de las conexiones SSH. Con la eliminación de DSA, la corrección de vulnerabilidades críticas y nuevas medidas de protección, esta versión fortalece significativamente la seguridad de los sistemas que dependen de OpenSSH.
Para obtener más información y detalles técnicos sobre esta actualización, puedes consultar el anuncio oficial en el sitio web de OpenSSH.
