Po šesti měsících vývoje bylo zveřejněno vydání OpenSSH 9.1, otevřené implementace klienta a serveru pro práci přes protokoly SSH 2.0 a SFTP. Vydání je charakterizováno jako obsahující většinou opravy chyb, včetně oprav několika potenciálních zranitelností způsobených problémy s pamětí:
- Přetečení jednoho bajtu v kódu zpracování banneru SSH v obslužném programu ssh-keyscan.
- Dvojité volání funkce free() v případě chyby při výpočtu hashů pro soubory v kódu pro vytváření a ověřování digitálních podpisů v obslužném programu ssh-keygen.
- Dvojité volání funkce free() při zpracování chyb v obslužném programu ssh-keysign.
Hlavní změny:
- Do ssh a sshd byla přidána direktiva RequiredRSASize, která umožňuje definovat minimální povolenou velikost RSA klíčů. V sshd budou klíče menší než toto ignorovány, zatímco v ssh ukončí spojení.
- Přenosná edice OpenSSH byla převedena tak, aby používala klíče SSH k digitálnímu podepisování commitů a značek v Gitu.
- Direktivy SetEnv v konfiguračních souborech ssh_config a sshd_config nyní aplikují hodnotu z prvního výskytu proměnné prostředí, pokud je v konfiguraci definována vícekrát (předtím byl použit poslední výskyt).
- Při volání obslužného programu ssh-keygen s příznakem "-A" (generování všech typů hostitelských klíčů podporovaných ve výchozím nastavení) je generování klíčů DSA, které se ve výchozím nastavení několik let nepoužívají, zakázáno.
- sftp-server a sftp implementují "[chráněno e-mailem]“, umožňující klientovi požadovat jména uživatelů a skupin odpovídajících zadané sadě číselných identifikátorů (uid a gid). V sftp se toto rozšíření používá k zobrazení jmen při výpisu obsahu adresáře.
- sftp-server implementuje rozšíření "home-directory" pro rozšíření cest ~/ a ~user/ jako alternativu k "[chráněno e-mailem]' (rozšíření 'home-directory' je navrženo pro standardizaci a je již podporováno některými zákazníky).
- Přidána možnost pro ssh-keygen a sshd specifikovat čas UTC při určování intervalů platnosti certifikátu a klíče, kromě systémového času.
- V sftp jsou povoleny další argumenty ve volbě "-D" (například "/usr/libexec/sftp-server -el debug3").
- ssh-keygen umožňuje použití příznaku "-U" (pomocí ssh-agent) spolu s operacemi "-Y sign" k určení, že soukromé klíče jsou umístěny v ssh-agent.
Zdroj: opennet.ru