OpenSSH

Yeni nə versiya 7.3:

• Təhlükəsizlik:
• sshd (8): sshd (8) vasitəsilə sistemin crypt (3) funksiyasına qarşı potensial bir imtina-of-xidmət hücumu azaltın. Bir təcavüzkar, criptdə həddindən artıq CPU istifadə etməyə səbəb olan çox uzun parol göndərə bilər (3). sshd (8) artıq 1024 simvoldan çox olan parol identifikasiyası tələblərini qəbul etməyəcəkdir. Tomas Kuthan (Oracle), Andres Rojas və Javier Nieto tərəfindən müstəqil olaraq bildirilmişdir.
• sshd (8): Uzun parol göndərildikdə və serverdə xüsusi parol hashing alqoritmləri istifadə edildikdə etibarsız hesab adlarından etibarlı hesab etmək üçün istifadə edilə bilən parol identifikasiyası zamanı vaxt fərqi azaldır. CVE-2016-6210, verint.com saytında EddieEzra.Harari tərəfindən bildirilir.
• ssh (1), sshd (8): CBC padding oracle qarşı tədbirlər zamanı müşahidə edilə bilən vaxt zəifliyini təyin edin. Jean Paul Degabriele, Kenny Paterson, Torben Hansen və Martin Albrecht tərəfindən verilmişdir. Qeyd edək ki, CBC şifrəsi default olaraq silinib və yalnız uyğunluq üçün daxil edilir.
• ssh (1), sshd (8): Encrypt-then-MAC (EtM) rejimi üçün MAC doğrulamasının əməliyyat qaydasını təkmilləşdirin, hər hansı bir şifrənin şifrəsini açmadan əvvəl MAC-ni yoxlamaq üçün MAC alqoritmləri. Bu, belə bir sızma olmamasına baxmayaraq, düz mətləbə aid faktları sızdırmaq üçün vaxt ayırma imkanı aradan qaldırır. Jean Paul Degabriele, Kenny Paterson, Torben Hansen və Martin Albrecht tərəfindən verilmişdir. sshd (8): (yalnız portativ) UseLogin = yes olduqda PAM mühitinə baxmayaraq. PAM istifadəçi müəyyən mühit dəyişənləri və UseLogin = yes sshd_config ildə yes oxumaq üçün konfiqurasiya varsa, düşmən yerli bir istifadəçi LD_PRELOAD vasitəsilə hücum / bin / giriş və ya PAM vasitəsilə müəyyən oxşar ətraf mühit dəyişənlər bilər. CVE-2015-8325, Shayan Sadigh tərəfindən tapılmışdır.
• Yeni Xüsusiyyətlər:
• ssh (1): Bir və ya bir neçə SSH bastionu və ya "jump host" vasitəsilə sadələşdirilmiş indirection imkan üçün bir ProxyJump seçimi və müvafiq -J komanda satırı bayrağı əlavə edin.
• ssh (1): Bir mühitdən birini qəbul etmək əvəzinə xüsusi agent sockets təyin etmək üçün bir IdentityAgent seçimi əlavə edin. ssh (1): ssh -W istifadə edərkən ExitOnForwardFailure və ClearAllForwardings-lərin isteğe bağlı olaraq ləğv edilməsinə icazə verin. bz # 2577
• ssh (1), sshd (8): layihə-sqtatham-secsh-iutf8-00 görə IUTF8 terminal rejimi üçün dəstək həyata keçirin. ssh (1), sshd (8): əlavə sabit Diffie-Hellman 2K, 4K və 8K qrupları üçün layihə dəstəyi əlavə edin-draft-ssh-kex-sha2-03.
• ssh-keygen (1), ssh (1), sshd (8): sertifikatlardakı SHA256 və SHA512 RSA imzalarına dəstək; ssh (1): ssh_config (5) faylları üçün bir əlavə direktiv əlavə edin.
• ssh (1): serverdən göndərilən əvvəlcədən təsdiqləmə bannerlərində UTF-8 simvoluna icazə verin. bz # 2058
• Bugfixes:
• ssh (1), sshd (8): LOG_CRIT-dən bəzi nisbətən ümumi protokol hadisələrinin syslog səviyyəsini azaldır. bz # 2585
• sshd (8): konfiqurasiyada AuthenticationMethods = "" imtina edin və AuthenticationMethods = birdən çox kimlik doğrulaması tələb etməyən default davranışı üçün qəbul edin. bz # 2398
• sshd (8): Köhnəlmiş və aldadıcı "Mümkün BREAK-IN ATTEMPT!" irəli və əks DNS uyğun gəlmir. bz # 2585
• ssh (1): Close ControlPersist fon prosesi stderr debug rejimində istisna olmaqla və ya syslog giriş zamanı. bz # 1988
• birbaşa: direct-streamlocal@openssh.com kanalının PROTOCOL təsviri ilə açıq mesajlar dağıtılmış kodu uyğunlaşdırın. bz # 2529
• ssh (1): ExitOnForwardFailure və hostname canonicalisation effektiv olduqda uğursuzluqları düzəltmək üçün LocalForward və RemoteForward girişlərindən Deduplicate. bz # 2562
• sshd (8): 2001-ci ildə geri çağırılan moduldan köhnəlmiş "primes" faylına çıxarın. bz # 2559.
• sshd_config (5): UseDNS-in düzgün təsviri: səlahiyyətli_keys üçün ssh hostname emalına təsir edir, bilinməyən_hosts; bz # 2554 ssh (1): fayl sistemində müvafiq fərdi düymələr olmadan agentdə tək şəhadətnamə düymələrini istifadə edərək autentifikasiya edin. bz # 2550
• sshd (8): ClientAliveInterval ping-in vaxt əsaslı RekeyLimit təyin edildikdə göndərin; Daha əvvəl saxta paketlər göndərilmədi. bz # 2252

Yeni versiyası 7.2:

• Təhlükəsizlik:
• ssh (1), sshd (8): yarımçıq və istifadə edilməmiş rouminq kodunu (OpenSSH 7.1p2-də artıq zorla əlil olmuşdur) silin.
• ssh (1): X server XÜSUSİYYƏTLƏRİ uzadıldığı zaman təhlükəsiz ötürülmədən etibarsız X11 ötürülməsindən geri qaytarmağı aradan qaldırın.
• ssh (1), sshd (8): diffie-hellman-qrup-mübadiləsi üçün dəstəklənən minimum modul ölçüsünü 2048 bitə artır.
• sshd (8): pre-auth sanksiya default olaraq etkinleştirildi (önceki sürümler sshd_config aracılığıyla yeni kurulumlarda etkinleştirildi)
• Yeni Xüsusiyyətlər:
• bütün: draft-rsa-dsa-sha2-256-03.txt və draft-ssh-ext-info-04.txt əsasında SHA-256/512 hash alqoritmlərini istifadə edərək RSA imzalarına dəstək əlavə edin.
• ssh (1): 'yes', 'no', 'ask' və ya 'confirm' və 'no' üçün varsayılan olaraq ayarlanabilen bir AddKeysToAgent müştəri seçimi əlavə edin. Etkinleştirildiğinde, kimlik doğrulaması sırasında istifadə olunan xüsusi bir açma işlemi, ssh-agent'e (onay 'onay' olaraq ayarlandığında etkinleştirildiğinde) eklenecektir.
• sshd (8): bütün mövcud və gələcək əsas məhdudiyyətləri (no - * - forwarding, və s.) daxil edən yeni "authorized_keys" variantını "məhdudlaşdırın" əlavə edin. Mövcud məhdudiyyətlərin, məsələn "no-pty" -> & gt; "pty". Bu, məhdudlaşdırılmış açarların yaradılması məsələsini asanlaşdırır və gələcəkdə tətbiq oluna biləcək hər hansı bir icazədən asılı olmayaraq, maksimum məhdudlaşdırılmasını təmin edir. ssh (1): ssh_config Sertifikatını açıq şəkildə göstərmək üçün CertificateFile əlavə et. bz # 2436
• ssh-keygen (1): ssh-keygen'e bütün dəstəklənən formatlar üçün əsas şərh dəyişdirin.
• ssh-keygen (1): standart girişdən, məs. "ssh-keygen-lf -"
• ssh-keygen (1): faylda bir çox ictimai açarların barmaq izlərini verməyə icazə verir, məs. "ssh-keygen-lf ~ / .ssh / authorized_keys" bz # 1319
• sshd (8): sshd_config Foreground və ChrootDirectory üçün bir arqument kimi "none" dəstəyi. Mətn bloklarında qlobal parametrləri ləğv etmək üçün faydalıdır. bz # 2486

ssh-keygen (1): ssh-keygen -L "ssh-keycan (1) üçün standart girişdən (" -f - "istifadə edərək) birdən çox sertifikatı dəstəkləyin: əlavə edin" ssh- keycan -c ... "bayrağının düz düymələri yerinə sertifikatları almaq imkanı verəcək.
• ssh (1): hostname canonicalisation-də daha yaxşı birləşdirilmiş FQDN'ləri (məsələn, 'cvs.openbsd.org') idarə edə bilərsiniz - onları artıq canonical kimi müalicə edin və arxadan çıxarın. ' ssh_config eşleşmeden əvvəl.
• Bugfixes:
• sftp (1): Mövcud təyinat kitabçaları təkrarlanan yüklənmələri ləğv etməməlidir (regensiya openssh 6.8) bz # 2528
• ssh (1), sshd (8): SSH2_MSG_UNIMPLEMENTED əsas dəyişmələr zamanı gözlənilməz mesajlara düzgün cavab göndərin. bz # 2949
• ssh (1): ConnectionAttempts = 0 qurmaq cəhdlərini imtina etməli və ssh bir uninitialised yığın dəyişənini çap etməyə səbəb olacaq. bz # 2500
• ssh (1): yığılmış IPv6 ünvanlarına hostname canonicalisation effektiv aktivləşdirməyə cəhd edərkən düzeltin səhvləri.
• sshd_config (5): Match bloklarında istifadə edilə bilən bir neçə daha çox seçim siyahısı. bz # 2489
• sshd (8): Match blokunda "PubkeyAcceptedKeyTypes + ..." düzəltmək. ssh (1): fayllarındakı tilde simvollarını genişləndirmək -i variantları, kimlik faylının mövcud olub olmadığını yoxlamadan əvvəl. Kabukun genişlənməyəcəyi hallarda (məsələn, "-i ~ / fayl" və "-i ~ / fayl") qarışıqlıqları aradan qaldırır. bz # 2481
• ssh (1): bir komut faylının müəyyən bir mühitdə uğursuz olmasına səbəb ola biləcək bir konfiqurasiya faylında "Match exec" tərəfindən işlədilən kabuk əmrinə "exec" ə gətirməyin. bz # 2471
• ssh-keycan (1): ana hashing və ya qeyri-standart port istifadə edildikdə bir xətdə birdən çox host / addrs üçün çıxış çıxışı bz # 2479
• sshd (8): ChrootDirectory aktiv olduqda skip "home directory to chdir" mesajı göndərmə. bz # 2485
• ssh (1): ssh -G konfiqurasiya dumpində PubkeyAcceptedKeyTypes daxildir. sshd (8): lazım olduqda artıq TunnelForwarding cihazı bayraqlarını dəyişdirməyin; cihaz icazələri və interfeys bayraqları əvvəlcədən müəyyən edilmişsə, tun / kran şəbəkəsini qeyri-kök istifadəçi kimi istifadə etməyə imkan verir
• ssh (1), sshd (8): RekeyLimits bir paket ilə aşılmış ola bilər. bz # 2521
• ssh (1): müştəri çıxışını müşahidə etmək üçün çarpanlaşdırma master çatışmazını düzeltin.
• ssh (1), ssh-agent (1): boş əsas şəxsiyyətləri təqdim edən PKCS11 tokens üçün ölümcül () qarşısını almaq. bz # 1773
• sshd (8): NULL argümanının printf-dən çəkinin. bz # 2535
• ssh (1), sshd (8): RekeyLimits 4GB-dən böyükdür. bz # 2521
• ssh-keygen (1): sshd (8): KRL imza dəstəyində (istifadə olunmayan) bir neçə hata düzeltin.
• ssh (1), sshd (8): protokolun əsas dəyişiklik tahmin xüsusiyyətini istifadə edən həmyaşıdları ilə əlaqə qurur. bz # 2515
• sshd (8): günlük mesajlarında uzaq port nömrəsini daxildir. bz # 2503
• ssh (1): SSHv1 dəstəyi olmadan tərtib edildikdə SSHv1 xüsusi açarı yükləməyə çalışmayın. bz # 2505
• ssh-agent (1), ssh (1): əsas yükləmə və imzalanma səhvləri zamanı yanlış səhv mesajlarını düzəldin. bz # 2507
• ssh-keygen (1): known_hosts fayl redaktə edildikdə bilinməyən_hosts yoxdur zaman boş müvəqqəti faylları tərk etməyin.
• sshd (8): port bz # 2509 ayırmayan istəklər üçün tcpip-forward cavablar üçün düzgün paket formatı
• ssh (1), sshd (8): mümkün bağlana bağlanışda asmaq. bz # 2469 ssh (1): UID-ə ControlPath-da% i genişləndirin. bz # 2449
• ssh (1), sshd (8): openssh_RSA_verify funksiyasını düzəldin. bz # 2460
• ssh (1), sshd (8): yaddaş sızıntısını təhlil edən bəzi variantları düzəldin. bz # 2182
• ssh (1): DNS qətnaməsindən əvvəl bəzi debug çıxışını əlavə edin; Ssh, məsələn, cavabsız DNS serverləri halında səssizcə dayanacaq bir yerdir. bz # 2433 ssh (1): vizual hostkeydə süni yeni xəttini silin. bz # 2686
• ssh (1): HostKeyAlgorithms = + ...
• ssh (1): HostkeyAlgorithms = + ...
'nun genişləndirilməsi
• Sənədlər:
• ssh_config (5), sshd_config (5): mövcud reallığı uyğunlaşdırmaq üçün default alqoritmi siyahıları yeniləyin. bz # 2527
• ssh (1): -Q açar-düz və -Q əsas sertifikat seçim variantları. bz # 2455
• sshd_config (8): AuthorizedKeysFile = heç kimin nə olduğunu daha aydın təsvir edir.
• ssh_config (5): daha yaxşı sənəd ExitOnForwardFailure. bz # 2444
• sshd (5): dərslikdə daxili DH-GEX qayıtma qruplarını qeyd edin. bz # 2302
• sshd_config (5): MaxSessions seçimi üçün daha yaxşı təsvir. bz # 2531
• Taşınabilirlik:

Ssh (1), sftp-server (8), ssh-agent (1), sshd (8): Support Illumos / Solaris ince grained imtiyazlar. Öncədən auth privosep sandbox və bir neçə girov () emulation daxildir. bz # 2511
• Redhat / openssh.spec ünvanını yeniləyin, köhnəlmiş variantları və sintaksisləri silin.
• konfiqurasiya: icazə verməyən - ssl-mühərriki ilə - without-openssl
• sshd (8): S / Key istifadə edərək birdən çox identifikasiyası təsdiq edin. bz # 2502
• sshd (8): libcrypto'dan RAND_b əvvəl imtina imtiyazlarından geri oxuyun. BoringSSL ilə qoruma pozuntularını aradan qaldırır.
• Sistemin təmin etdiyi glob (3) funksiyaları ilə adın toqquşmasını düzəldin. bz # 2463
• Makefile, ssh-keygen-A istifadəçi əsaslarını yaradan zaman istifadə etməyə uyar. bz # 2459
• konfiqurasiya: -with-ssh1 bz # 2457 üçün düzgün default dəyər
• konfiqurasiya: _res simvolu bz # 2259 daha yaxşı aşkarlanması
• Linux-da getrandom () syscall-ı dəstəkləyin

Yeni versiyası 7.1:

• Təhlükəsizlik:
• sshd (8): OpenSSH 7.0, PermitRootLogin = kompilyasiya-vaxt konfiqurasiyasına əsasən, parol identifikasiyası root üçün digər identifikasiya formalarını qarşısını ala biləcək şəkildə icazə verə bilən PermitRootLogin = qadağan-parolu / parol olmadan bir məntiq səhvinə malikdir. Bu problem Mantas Mikulenas tərəfindən bildirildi.
• Bugfixes:
• ssh (1), sshd (8): FuTTY üçün uyğunluq işini yaradır
• ssh (1), sshd (8): WinSCP üçün uyumluluk çözümlerini yaxşılaşdırın
• Ssh (1) və ssh-keygen (1) -də bir sıra yaddaş səhvlərini (ikiqat, uninitialised yaddaşdan və s. Mateusz Kocielski tərəfindən verilib.