Dopu à sei mesi di sviluppu liberazione , una implementazione di cliente è servitore apertu per travaglià via i protokolli SSH 2.0 è SFTP.
Una attenzione speciale in a nova versione hè l'eliminazione di una vulnerabilità chì afecta ssh, sshd, ssh-add è ssh-keygen. U prublema hè presente in u codice per analizà e chjave private cù u tipu XMSS è permette à un attaccu di attivà un overflow integer. A vulnerabilità hè marcata cum'è sfruttable, ma di pocu usu, postu chì u supportu per i chjavi XMSS hè una funzione sperimentale chì hè disattivata per automaticamente (a versione portable ùn hà mancu una opzione di creazione in autoconf per attivà XMSS).
I cambiamenti principali:
- In ssh, sshd è ssh-agent codice chì impedisce a ricuperazione di una chjave privata situata in RAM in u risultatu di attacchi di canali laterali, cum'è , и . I chjavi privati sò avà criptati quandu sò caricati in memoria è decifrati solu quandu sò in usu, restanu criptati u restu di u tempu. Cù questu approcciu, per ricuperà successu a chjave privata, l'attaccante deve prima ricuperà una chjave intermediata generata aleatoriamente di 16 KB in grandezza, utilizata per criptà a chjave principale, chì hè improbabile datu a rata d'errore di ricuperazione tipica di l'attacchi muderni;
- В Aghjunghje un supportu sperimentale per un schema simplificatu per a creazione è a verificazione di signature digitale. E firme digitali ponu esse create usendu chjavi SSH regulari guardati nantu à u discu o in l'agente ssh, è verificate cù qualcosa simili à authorized_keys. . L'infurmazione di u namespace hè integrata in a firma digitale per evità a cunfusione quandu s'utilice in diverse spazii (per esempiu, per email è schedari);
- ssh-keygen hè stata cambiata per automaticamente per utilizà l'algoritmu rsa-sha2-512 quandu validate certificati cù una firma digitale basata nantu à una chjave RSA (quandu travaglia in modu CA). Tali certificati ùn sò micca cumpatibili cù e versioni prima di OpenSSH 7.2 (per assicurà a cumpatibilità, u tipu d'algoritmu deve esse annullatu, per esempiu chjamendu "ssh-keygen -t ssh-rsa -s ...");
- In ssh, l'espressione ProxyCommand supporta avà l'espansione di a sustituzione "%n" (u nome d'ospitu specificatu in a barra di indirizzu);
- In i listi di algoritmi di criptografia per ssh è sshd, pudete avà aduprà u caratteru "^" per inserisce l'algoritmi predeterminati. Per esempiu, per aghjunghje ssh-ed25519 à a lista predeterminata, pudete specificà "HostKeyAlgorithms ^ ssh-ed25519";
- ssh-keygen furnisce un output di un cumentu attaccatu à a chjave quandu estrae una chjave publica da una privata;
- Aggiunta l'abilità di utilizà a bandiera "-v" in ssh-keygen quandu eseguisce operazioni di ricerca di chjave (per esempiu, "ssh-keygen -vF host"), specificendu quale risultatu in una firma visuale di l'ospite;
- Aggiunta a capacità di utilizà cum'è un furmatu alternativu per almacenà e chjave private in discu. U formatu PEM cuntinueghja à esse usatu per difettu, è PKCS8 pò esse utile per ottene a cumpatibilità cù l'applicazioni di terzu.
Source: opennet.ru