Image
By lew Founder on Tag: OpenSSH, Quantum Cryptography
OpenSSH

OpenSSH เพิ่มโค้ดแจ้งเตือนเมื่อผู้ใช้เชื่อมต่อด้วยรูปแบบที่ไม่ปลอดภัยต่อคอมพิวเตอร์ควอนตัม หลังจากเวอร์ชั่น 10.0 ที่ผ่านมาเปิดการใช้งานกระบวนการเข้ารหัสแบบใหม่เป็นมมาตรฐาน

ทาง OpenSSH เปิดใช้งานกระบวนการเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัมมาตั้งแต่เวอร์ชั่น 9.0 ที่ออกมาในปี 2022 แต่เป็นกระบวนการเข้ารหัสแบบ sntrup761x25519-sha512 ที่ยังไม่ได้รับรองเป็นมาตรฐานกลาง และในเวอร์ชั่น 10.0 ก็เพิ่ม mlkem768x25519-sha256 ที่ NIST รับรองแล้ว

By lew Founder on Tag: OpenSSH, Cryptography
OpenSSH

OpenSSH ออกเวอร์ชั่น 10.0 โดยมีความเปลี่ยนแปลงสำคัญที่กระบวนการเข้ารหัส ที่ปรับปรุงให้ทันสมัยขึ้น ได้แก่

By lew Founder on Tag: AlmaLinux, RHEL, Security, OpenSSH, Red Hat
AlmaLinux

AlmaLinux โครงการลินุกซ์ที่รักษาความเข้ากันได้กับ Red Hat Enterprise Linux (RHEL) ปล่อยแพตช์ช่องโหว่ CVE-2024-6409 ช่องโหว่ใน OpenSSH ที่อาจทำให้แฮกเกอร์รันโค้ดในเครื่องเป้าหมายได้

โดยปกติแล้วโครงการปลายน้ำที่ใช้โค้ดต่อจาก RHEL เช่น AlmaLinux หรือ RockyLinux นั้นจะต้องรอโค้ดจาก RHEL เพื่อมาคอมไพล์เป็นไบนารีแจกจ่ายต่อไป แต่ในบั๊กนี้ทาง AlmaLinux ปล่อยแพตช์ก่อน RHEL หนึ่งวัน

By lew Founder on Tag: OpenSSH, Security Patch, Qualys
OpenSSH

OpenSSH ออกเวอร์ชั่น 9.8 แก้ไช่องโหว่ความปลอดภัย CVE-2024-6387 ชื่อเล่นว่า regreSSHion เปิดทางให้คนร้ายสามารถยิงแพ็กเก็ตพิเศษเพื่อยิงเข้ามารันโค้ดในเครื่องของเหยื่อได้

ที่น่าสนใจคือช่องโหว่นี้กระทบเวอร์ชั่นเก่ามาก ก่อน 4.4p1 ที่ออกมาตั้งแต่ปี 2006 และกระทบอีกทีในเวอร์ชั่น 8.5p1 ที่ออกมาเมื่อปี 2021 เป็นที่มาของชื่อช่องโหว่ regreSSHion โดยเบื้องต้นพบช่องโหว่นี้กับ OpenSSH ที่คอมไพล์ร่วมกับ glibc เท่านั้น ทาง Qualys ผู้พบช่องโหว่นี้ยืนยันว่า OpenBSD ไม่ได้รับผลกระทบ

By lew Founder on Tag: Open Source, Security, OpenSSH
Open Source

Andres Freund นักพัฒนาจากไมโครซอฟท์รายงานถึงโค้ดของโครงการ xz โปรแกรมบีบอัดที่ได้รับความนิยมกว้างขวาง แต่มีสัปดาห์ที่ออกมามีเวอร์ชั่นใหม่ 5.6.0 และ 5.6.1 ที่มีพฤติกรรมแปลกๆ เมื่อสอบสวนเพิ่มเติมกลับพบว่าโค้ดเหล่านี้ถูกใส่เพิ่มเข้ามาในสคริปต์ build จาก tarball โดยไม่มีโค้ดใน repository จริง

By lew Founder on Tag: OpenSSH, Security, Cryptography
OpenSSH

BastionZero เปิดแนวทางใช้งาน OpenPubkey เพิ่มเติมจากการใช้เซ็นไฟล์ มาสู่การล็อกอิน Secure Shell เปิดทางให้สามารถล็อกอิน Secure Shell โดยไม่ต้องฝังกุญแจสาธารณะเอาไว้ในเซิร์ฟเวอร์ซึ่งไม่มีวันหมดอายุและเสี่ยงต่อเหตุการณ์กุญแจรั่วไหล

โครงการ OpenPubkey SSH แยกเป็นสองส่วน ส่วนแรกคือการสร้างใบรับรอง SSH ที่ฝัง PK Token ที่ได้จากการล็อกอินแบบ OpenID Connect เข้าไปด้วย ส่วนฝั่งเซิร์ฟเวอร์มีโปรแกรมตรวจสอบใบรับรองโดยอาศัย PK Token เช่นกัน

By lew Founder on Tag: OpenSSH, Security, Cryptography
OpenSSH

OpenSSH ซอฟต์แวร์ควบคุมเครื่องระยะไกลประกาศแนวทางการยกเลิกรองรับกุญแจล็อกอินแบบ DSA (Digital Signature Algorithm) โดยกุญแจแบบ DSA นี้เป็นกุญแจล็อกอินที่ OpenSSH ใช้ตั้งแต่เวอร์ชั่นแรกเมื่อ OpenSSH ตั้งแต่ปี 1999 หรือ 24 ปีที่แล้ว โดยโค้ดทั้งหมดจะถูกถอดออกภายในต้นปี 2025

By lew Founder on Tag: SSH, OpenSSH, Security
SSH

ทีมวิจัยจาก Ruhr University Bochum รายงานถึงช่องโหว่ Terrapin ของโปรโตคอล Secure Shell หรือ ssh ที่เปิดทางให้แฮกเกอร์สามารถแก้ไขข้อมูลบางส่วนระหว่างเริ่มต้นการเชื่อมต่อ ทำให้คนร้ายสามารถปิดฟีเจอร์ความปลอดภัยบางอย่างได้สำเร็จ อย่างไรก็ตามผลกระทบไม่ร้ายแรงนัก และการโจมตีทำได้จำกัดพอสมควร

By lew Founder on Tag: OpenSSH
OpenSSH

OpenSSH ประกาศออกเวอร์ชั่น 9.5 ที่แม้จะเป็นเวอร์ชั่นย่อยแต่มีฟีเจอร์สำคัญสองอย่างที่ประกาศออกมาก่อนหน้านี้ ได้แก่

By lew Founder on Tag: OpenSSH, Cryptography
OpenSSH

โปรแกรม ssh-keygen ที่ใช้สร้างกุญแจสำหรับล็อกอิน Secure Shell ภายใต้โครงการ OpenSSH เตรียมเปลี่ยนค่าเริ่มต้นการสร้างกุญแจ จากเดิมใช้กระบวนการ RSA มาเป็น Ed25519

กุญแจแบบ Ed25519 นั้นเป็นกุญแจแบบ elliptic curve รองรับใน OpenSSH 6.5 ที่ออกมาตั้งแต่ต้นปี 2014 หรือรวมเกือบสิบปีแล้ว ข้อดีที่เห็นได้ชัดคือกุญแจมีขนาดเล็กลงมาก และประสิทธิภาพโดยรวมดีขึ้น กระบวนการแลกกุญแจภายในยังใช้กระบวนการ Diffie Hellman อยู่

By lew Founder on Tag: OpenSSH, Security
OpenSSH

Damien Miller นักพัฒนาโครงการ OpenSSH ส่งโค้ดเพิ่มฟีเจอร์ ObscureKeystrokeTiming เพื่อล็อกห้วงเวลาส่งข้อมูลคีย์บอร์ด จากเดิมที่ส่งทันที ให้ส่งทุกห้วงเวลาที่กำหนด เช่น 20ms เท่านั้น นอกจากนี้ยังส่งข้อมูลคีย์ปลอมเพื่อสร้างความสับสนเพิ่มเติม

By lew Founder on Tag: OpenSSH, Security
OpenSSH

OpenSSH ออกเวอร์ชั่น 9.0 เป็นเวอร์ชั่นหลักหลังจากเวอร์ชั่น 8.0 ออกมาตั้งแต่ปี 2019 เนื่องจากความเปลี่ยนแปลงสำคัญคือการเลิกใช้โปรโตคอล SCP/RCP ออกทั้งหมด และหันมาใช้โปรโตคอล SFTP เท่านั้น

การเปลี่ยนแปลงครั้งนี้ทำให้คำสั่ง scp มีพฤติกรรมเปลี่ยนไป จุดสำคัญคือการอ้างถึงชื่อไฟล์บนเซิร์ฟเวอร์แบบ wildcard (ตัวดอกจัน '*') และการอ้าง home directory ที่ตัวโปรโตคอล SFTP เองไม่สามารถใช้ตัว ~ เพื่ออ้างถึง home directory ได้ แต่ OpenSSH ก็ใส่ส่วนขยายรองรับให้เหมือน SCP มาตั้งแต่ OpenSSH 8.7

By lew Founder on Tag: Google, OpenSSH, Security
Google

กูเกิลโอเพนซอร์สโครงการ HIBA สำหรับการจำกัดสิทธิ์ (authorization) การเข้าถึงเซิร์ฟเวอร์ผ่านทาง Secure Shell โดยอาศัยการออกใบรับรองสำหรับล็อกอินให้ผู้ใช้แต่ละคน และตรวจสอบสิทธิ์การเข้าถึงเซิร์ฟเวอร์แต่ละตัวด้วยข้อมูลในใบรับรอง

การล็อกอิน Secure Shell เช่น OpenSSH นั้นรองรับการล็อกอินด้วยคู่กุญแจ public/private key เป็นเรื่องปกติ ทำให้ผู้ดูแลระบบสามารถล็อกอินโดยไม่ต้องใส่รหัสผ่าน แต่ฟีเจอร์ที่ OpenSSH รองรับแต่ไม่ได้รับความนิยมนักคือการตรวจสอบกุญแจผ่าน CA กลาง ทำให้ไม่ต้องวาง public key ในเซิร์ฟเวอร์ครั้งแรกด้วยการล็อกอินรหัสผ่าน หรือวางไว้ตั้งแต่ตอนสร้างเครื่อง

By lew Founder on Tag: OpenSSH, Gender
OpenSSH

โครงการ OpenSSH รับแพตช์ในเอกสาร manpage ของโครงการเพื่อเลิกระบุเพศของผู้ใช้จากเดิมใช้ เขา/เธอ (his/her) อยู่เดิม กลายเป็น they/their หรือการใช้ they แบบเอกพจน์

แพตช์มีขนาดเล็กมาก และแก้ไข man ssh สำหรับการอ้างอิงถึงผู้ใช้เพียง 4 บรรทัดเท่านั้น (การแก้ไขคำสั่ง man เองน่าจะเป็นเรื่องยากมากเพราะเป็นคำสั่งพื้นฐานของลินุกซ์)

By lew Founder on Tag: OpenSSH, Security
OpenSSH

OpenSSH ออกเวอร์ชั่น 8.3 วันนี้โดยประกาศออกมาพร้อมกับอ้างถึงรายงานวิจัย "SHA-1 is a Shambles" ที่ตีพิมพ์เมื่อต้นปีที่ผ่านมา โดยมีต้นทุนการปลอมค่าแฮช SHA-1 แบบ chosen-prefix อยู่ที่ 45,000 ดอลลาร์ นับเป็นค่าที่ถูกเกินไปสำหรับการใช้งานที่ต้องการความปลอดภัยสูง ทำให้ทาง OpenSSH เตรียมเลิกรองรับกุญแจล็อกอินแบบ ssh-rsa

By lew Founder on Tag: OpenSSH, Security
OpenSSH

OpenSSH ออกรุ่น 8.2 โดยฟีเจอร์สำคัญคือมันรองรับกุญแจ FIDO/U2F อย่างเป็นทางการแล้ว ทำให้ผู้ดูแลระบบสามารถเพิ่มความปลอดภัยของไฟล์ private key สำหรับล็อกอินด้วยการยืนยันผ่านกุญแจ FIDO อีกชั้น

By lew Founder on Tag: OpenSSH, Security, Meltdown
OpenSSH

การโจมตี Spectre, Meltdown, และ Rowhammer เปิดทางให้ซอฟต์แวร์มุ่งร้ายสามารถเข้าไปอ่านหน่วยความจำส่วนที่ไม่ได้รับอนุญาต แม้ว่าโดยทั่วไปแล้วกระบวนการจะทำงานได้ช้า และมีความผิดพลาดอยู่บ้าง แต่หากคนร้ายสามารถดึงข้อมูลสำคัญที่มีขนาดเล็ก เช่น กุญแจเข้ารหัส, รหัสผ่าน ก็จะสร้างความเสียหายได้อย่างมาก ตอนนี้โครงการ Secure Shell (SSH) ก็รับโค้ดใหม่ เพื่อป้องกันปัญหานี้

By lew Founder on Tag: OpenSSH
OpenSSH

OpenSSH เซิร์ฟเวอร์และไคลเอนต์สำหรับโปรโตคอล SSH ที่ใช้กันแพร่หลายออกรุ่น 8.0 โดยปรับปรุงความปลอดภัยหลายอย่าง ที่มีผลต่อคนทั่วไป เช่น

By lew Founder on Tag: OpenSSH, Security
OpenSSH

Harry Sintonen นักวิจัยความปลอดภัยจาก F-Secure รายงานถึงช่องโหว่ของไคลเอนต์ SSH เมื่อทำงานในโหมดส่งไฟล์ (SCP) ว่าไคลเอนต์หลักๆ ล้วนมีช่องโหว่ทำให้เซิร์ฟเวอร์ที่มุ่งร้ายสามารถส่งไฟล์ใดๆ เข้ามาทับไฟล์บนเครื่องได้

ช่องโหว่แบ่งออกเป็น 4 กรณี

By mk Founder on Tag: OpenSSH, Microsoft, Windows 10, Windows Server 2019, SSH
OpenSSH

เราเห็นไมโครซอฟท์เริ่มทดสอบ OpenSSH บนวินโดวส์มาได้สักพัก ล่าสุดมันเข้าสถานะรุ่นจริงแล้ว ทั้งบน Windows 10 v1809 และ Windows Server 2019

OpenSSH ไม่ได้ถูกติดตั้งมาพร้อม Windows แต่มีสถานะเป็น Feature-on-Demand ที่ติดตั้งเองภายหลังได้ (เหมือนกับ Windows Subsystem for Linux) โดยเข้าไปที่หน้า Apps > Apps and Features > Manage Optional Features แล้วเลือกเพิ่มฟีเจอร์ใหม่ได้ทั้ง OpenSSH server/client

Subscribe to OpenSSH