Версия на OpenSSH 9.1

След шест месеца разработка беше публикувана версията на OpenSSH 9.1, отворена реализация на клиент и сървър за работа по протоколите SSH 2.0 и SFTP. Изданието се характеризира като съдържащо предимно корекции на грешки, включително няколко потенциални уязвимости, причинени от проблеми с паметта:

• Препълване на един байт в кода за обработка на SSH банер в помощната програма ssh-keyscan.
• Двойно извикване на функцията free() в случай на грешка при изчисляване на хешове за файлове в кода за създаване и проверка на цифрови подписи в помощната програма ssh-keygen.
• Двойно извикване на функцията free() при обработка на грешки в помощната програма ssh-keysign.

Основни промени:

• Директивата RequiredRSASize е добавена към ssh и sshd, което ви позволява да определите минималния допустим размер на RSA ключовете. В sshd по-малките ключове ще бъдат игнорирани, а в ssh те ще доведат до прекъсване на връзката.
• Преносимото издание на OpenSSH е преобразувано да използва SSH ключове за цифрово подписване на ангажименти и тагове в Git.
• Директивите SetEnv в конфигурационните файлове ssh_config и sshd_config вече прилагат стойността от първото споменаване на променливата на средата, ако тя е дефинирана повече от веднъж в конфигурацията (преди се прилагаше последното споменаване).
• При извикване на помощната програма ssh-keygen с флага „-A“ (генериране на всички типове хост ключове, поддържани по подразбиране), генерирането на DSA ключове, които не са били използвани по подразбиране от няколко години, е деактивирано.
• sftp-сървър и sftp прилагат разширението "[имейл защитен]", давайки на клиента възможността да изисква имена на потребители и групи, съответстващи на определен набор от цифрови идентификатори (uid и gid). В sftp това разширение се използва за показване на имена при показване на съдържанието на директория.
• sftp-сървър прилага разширението „home-directory“, за да разшири пътеките ~/ и ~user/, алтернатива на предложеното по-рано разширение „[имейл защитен]"(разширението "home-directory" е предложено за стандартизация и вече се поддържа от някои клиенти).
• ssh-keygen и sshd добавят възможност за указване на час в часовата зона UTC при определяне на интервалите на валидност на сертификата и ключа, в допълнение към системното време.
• sftp позволява допълнителни аргументи да бъдат посочени с опцията "-D" (например "/usr/libexec/sftp-server -el debug3").
• ssh-keygen позволява използването на флага "-U" (използвайте ssh-agent) заедно с операции "-Y sign", за да се определи, че частните ключове се хостват от ssh-agent.
  
  Източник: opennet.ru