Efter seks måneders udvikling er udgivelsen af OpenSSH 9.1 blevet offentliggjort, en åben implementering af en klient og server til at arbejde over SSH 2.0- og SFTP-protokollerne. Udgivelsen er karakteriseret ved at indeholde for det meste fejlrettelser, herunder flere potentielle sårbarheder forårsaget af hukommelsesproblemer:
- Single-byte-overløb i SSH-bannerbehandlingskoden i ssh-keyscan-værktøjet.
- Dobbeltkald til free()-funktionen i tilfælde af en fejl ved beregning af hashes for filer i koden til oprettelse og verificering af digitale signaturer i ssh-keygen-værktøjet.
- Dobbeltkald til free()-funktionen ved håndtering af fejl i ssh-keysign-værktøjet.
Vigtigste ændringer:
- RequiredRSASize-direktivet er blevet tilføjet til ssh og sshd, så du kan bestemme den mindst tilladte størrelse på RSA-nøgler. I sshd vil mindre nøgler blive ignoreret, og i ssh vil de resultere i, at forbindelsen afbrydes.
- Den bærbare udgave af OpenSSH er blevet konverteret til at bruge SSH-nøgler til digitalt at signere commits og tags i Git.
- SetEnv-direktiverne i konfigurationsfilerne ssh_config og sshd_config anvender nu værdien fra den første omtale af miljøvariablen, hvis den er defineret mere end én gang i konfigurationen (tidligere blev den sidste omtale anvendt).
- Når du kalder ssh-keygen-værktøjet med "-A"-flaget (genererer alle typer værtsnøgler, der understøttes som standard), deaktiveres genereringen af DSA-nøgler, som ikke har været brugt som standard i flere år.
- sftp-server og sftp implementerer udvidelsen "[e-mail beskyttet]", hvilket giver klienten mulighed for at anmode om bruger- og gruppenavne svarende til et specificeret sæt digitale identifikatorer (uid og gid). I sftp bruges denne udvidelse til at vise navne, når indholdet af en mappe vises.
- sftp-server implementerer "home-directory" udvidelsen for at udvide ~/ og ~user/ stier, et alternativ til den tidligere foreslåede udvidelse "[e-mail beskyttet]"("home-directory"-udvidelsen foreslås til standardisering og understøttes allerede af nogle klienter).
- ssh-keygen og sshd tilføjer muligheden for at angive tid i UTC-tidszonen ved bestemmelse af certifikat- og nøglegyldighedsintervaller, ud over systemtid.
- sftp tillader, at yderligere argumenter specificeres med "-D"-indstillingen (for eksempel "/usr/libexec/sftp-server -el debug3").
- ssh-keygen tillader brugen af "-U" flaget (brug ssh-agent) sammen med "-Y sign" operationer for at bestemme, at private nøgler hostes af ssh-agent.
Kilde: opennet.ru