ProHoster > Blog > internet nuus > OpenSSH 9.1 vrystelling

OpenSSH 9.1 vrystelling

Na ses maande se ontwikkeling is die vrystelling van OpenSSH 9.1 gepubliseer, 'n oop implementering van 'n kliënt en bediener om oor die SSH 2.0- en SFTP-protokolle te werk. Die vrystelling word gekenmerk as dat dit meestal foutoplossings bevat, insluitend verskeie potensiële kwesbaarhede wat veroorsaak word deur geheueprobleme:

  • Enkelgreep-oorloop in die SSH-banierverwerkingskode in die ssh-keyscan-nutsding.
  • Dubbel oproep na die free() funksie in die geval van 'n fout by die berekening van hashes vir lêers in die kode vir die skep en verifikasie van digitale handtekeninge in die ssh-keygen nut.
  • Dubbel oproep na die free() funksie wanneer foute in die ssh-keysign-nutsding hanteer word.

Belangrikste veranderinge:

  • Die RequiredRSASize-aanwysing is by ssh en sshd gevoeg, sodat jy die minimum toelaatbare grootte van RSA-sleutels kan bepaal. In sshd sal kleiner sleutels geïgnoreer word, en in ssh sal dit daartoe lei dat die verbinding beëindig word.
  • Die draagbare uitgawe van OpenSSH is omgeskakel om SSH-sleutels te gebruik om commits en etikette digitaal in Git te onderteken.
  • Die SetEnv-aanwysings in die ssh_config- en sshd_config-konfigurasielêers pas nou die waarde toe vanaf die eerste vermelding van die omgewingsveranderlike as dit meer as een keer in die konfigurasie gedefinieer word (voorheen is die laaste vermelding toegepas).
  • Wanneer die ssh-keygen-hulpprogram met die "-A"-vlag opgeroep word (genereer alle tipes gasheersleutels wat by verstek ondersteun word), word die generering van DSA-sleutels, wat vir etlike jare nie by verstek gebruik is nie, gedeaktiveer.
  • sftp-bediener en sftp implementeer die uitbreiding "[e-pos beskerm]", wat die kliënt die vermoë gee om gebruikers- en groepname aan te vra wat ooreenstem met 'n gespesifiseerde stel digitale identifiseerders (uid en gid). In sftp word hierdie uitbreiding gebruik om name te vertoon wanneer die inhoud van 'n gids vertoon word.
  • sftp-bediener implementeer die "tuisgids" uitbreiding om ~/ en ~gebruiker/ paaie uit te brei, 'n alternatief vir die voorheen voorgestelde uitbreiding "[e-pos beskerm]"(die "tuisgids"-uitbreiding word voorgestel vir standaardisering en word reeds deur sommige kliënte ondersteun).
  • ssh-keygen en sshd voeg die vermoë by om tyd in die UTC-tydsone te spesifiseer wanneer sertifikaat- en sleutelgeldigheidsintervalle bepaal word, benewens stelseltyd.
  • sftp laat toe dat bykomende argumente gespesifiseer word met die "-D" opsie (byvoorbeeld, "/usr/libexec/sftp-server -el debug3").
  • ssh-keygen laat die gebruik van die "-U" vlag toe (gebruik ssh-agent) saam met "-Y teken" bewerkings om te bepaal dat private sleutels deur ssh-agent gehuisves word.

    Bron: opennet.ru

Voeg 'n opmerking