Ahora el servidor OpenSSH se divide en dos con una nueva arquitectura para una mejor protección.
El equipo de OpenSSH anunció el lanzamiento de la versión 9.8, que incluye un cliente y un servidor para trabajar con los protocolos SSH 2.0 y SFTP. En esta versión se ha eliminado una vulnerabilidad crítica que permitía la ejecución remota de código con privilegios de root antes de la autenticación. También se corrigió otra vulnerabilidad menos significativa y se realizaron cambios importantes para mejorar la seguridad.
En la nueva versión se corrigieron dos vulnerabilidades:
En cuanto a otros cambios, OpenSSH planea eliminar completamente el soporte del algoritmo de firma DSA a principios de 2025. En esta versión, el algoritmo DSA está deshabilitado por defecto durante la compilación. DSA se considera obsoleto e inseguro debido al tamaño limitado de la clave y al uso de la función hash SHA1. Los desarrolladores esperan que la eliminación del soporte de DSA acelere su depreciación más amplia en las bibliotecas criptográficas.
En la nueva versión se ha deshabilitado el soporte del algoritmo DSA en la etapa de compilación. Además, el servidor sshd ahora bloqueará las direcciones de clientes que intenten autenticarse sin éxito repetidamente o causen fallos en el servidor, lo que debería dificultar los ataques a cuentas con contraseñas débiles o los intentos de explotación de vulnerabilidades en sshd.
El servidor sshd se ha dividido en dos archivos binarios: sshd para el oyente y sshd-session para cada sesión, lo que reduce el tamaño del archivo principal y mejora la seguridad. También se han modificado algunos mensajes de registro: ahora estarán marcados como provenientes del proceso «sshd-session» en lugar de «sshd».
La versión 9.8 se centra principalmente en la corrección de errores. En particular, se ha mejorado la precisión de la documentación del protocolo, se han corregido errores en el manejo de números y se han solucionado problemas de compatibilidad en varios sistemas.
Los desarrolladores han añadido soporte para notificaciones de systemd y han mejorado la detección del soporte de claves ED25519 en OpenSSL. Ahora también se puede habilitar SSH_ASKPASS si existe la variable de entorno WAYLAND_DISPLAY.
El equipo de OpenSSH continúa trabajando en la mejora de la seguridad y funcionalidad del proyecto. La lista completa de cambios y revisiones está disponible en las notas oficiales del lanzamiento. La nueva versión estará disponible para su descarga desde los espejos indicados en el sitio web oficial de OpenSSH.