OpenSSH 10.2: Corrección Crítica de ControlPersist y Preparación para el Fin de SHA1

SeguridadNoticias

Published:

Reading time: 3 min.

El proyecto OpenSSH ha liberado la versión 10.2, una actualización de mantenimiento que resuelve problemas críticos de funcionalidad mientras continúa su camino hacia la eliminación de algoritmos criptográficos considerados inseguros. Esta release se enfoca en estabilizar características introducidas en versiones recientes y mejorar la compatibilidad cross-platform.

Corrección Prioritaria: ControlPersist Recupera su Funcionalidad

La principal mejora en OpenSSH 10.2 aborda un problema que inhabilitaba las sesiones SSH cuando ControlPersist estaba activado. Esta característica, diseñada para mantener conexiones maestras abiertas y reutilizables, presentaba un manejo incorrecto de las conexiones de terminal en la versión 10.1.

Impacto del Bug:

  • Las sesiones SSH se volvían inutilizables después de la reconexión

  • Pérdida de interactividad en sesiones remotas

  • Problemática especialmente crítica en flujos de trabajo que dependen de conexiones persistentes para automatización

Solución Implementada:
OpenSSH 10.2 corrige la gestión de terminales, restaurando la funcionalidad completa de ControlPersist y asegurando que las sesiones mantengan su capacidad interactiva después de reutilizar conexiones maestras.

Mejoras en ssh-keygen y Gestión de Claves

La herramienta ssh-keygen recibe dos correcciones significativas:

  1. Descarga desde Tokens PKCS#11: Se resuelve un problema que impedía la descarga correcta de claves desde tokens de hardware PKCS#11, facilitando la gestión de claves almacenadas en dispositivos de seguridad.

  2. Operaciones de Firma con CA: Corrige errores durante operaciones de firma de certificados cuando la clave de la Autoridad Certificadora (CA) estaba almacenada en ssh-agent, mejorando la fluidez en entornos de PKI empresarial.

Ampliación de Compatibilidad Multiplataforma

OpenSSH 10.2 extiende su soporte a entornos no tradicionales:

  • Soporte WebAssembly (WASM): Mejora la compatibilidad con sistemas que no soportan mmap, como entornos WASM (HTerm), expandiendo las posibilidades de implementación en aplicaciones web y contenedores ligeros.

  • Arreglos Específicos de Sistema:

    • FreeBSD: Corrección de headers faltantes que afectaban la compilación

    • macOS Legacy: Mejora del soporte para versiones antiguas que carecen de clock_gettime

    • sshd: Resuelve un potencial bloqueo (hang) al manejar nombres de host desconocidos en configuraciones PAM específicas

Preparativos para la Deprecación de SHA1 SSHFP

Los desarrolladores reiteran el aviso de deprecación inicialmente anunciado en OpenSSH 10.1:

  • Eliminación Inminente: El soporte para registros DNS SSHFP con SHA1 será removido en una versión futura

  • Transición a SHA256: Las versiones posteriores ignorarán completamente los registros SHA1, dependiendo exclusivamente de SHA256

  • Antigüedad del Soporte: SHA256 en SSHFP ha estado disponible desde OpenSSH 6.1 (2012), proporcionando un período de transición extenso

Implicaciones para Administradores de Sistemas

Acciones Recomendadas:

  1. Actualización Inmediata: Priorizar la actualización a OpenSSH 10.2 en sistemas que utilicen ControlPersist para conexiones automatizadas.

  2. Migración de SSHFP:

    bash
    ssh-keygen -r hostname -f /etc/ssh/ssh_host_rsa_key

    Regenerar registros SSHFP para utilizar exclusivamente SHA256 en preparación para la próxima deprecación.

  3. Verificación de Compatibilidad: Validar el funcionamiento en entornos WASM y sistemas legacy que puedan beneficiarse de las mejoras de compatibilidad.

Conclusión

OpenSSH 10.2 representa un mantenimiento esencial que estabiliza funcionalidades críticas mientras mantiene el rumbo hacia estándares criptográficos más seguros. La corrección de ControlPersist restaura la confiabilidad en flujos de trabajo dependientes de conexiones persistentes, mientras las mejoras de compatibilidad aseguran que OpenSSH continúe siendo una solución universal para conectividad segura.

La próxima eliminación de SHA1 SSHFP refuerza el compromiso del proyecto con la seguridad proactiva, alineándose con las mejores prácticas industriales para abandonar algoritmos criptográficos considerados débiles.

Recursos:

Los usuarios enterprise deben planificar la actualización y comenzar la transición away from SHA1 SSHFP records para asegurar compatibilidad continua con futuras versiones de OpenSSH.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles