Nach sechsmonatiger Entwicklungszeit wurde die Version von OpenSSH 9.1 veröffentlicht, einer offenen Implementierung eines Clients und Servers für die Arbeit mit den Protokollen SSH 2.0 und SFTP. Die Veröffentlichung zeichnet sich dadurch aus, dass sie hauptsächlich Fehlerkorrekturen enthält, einschließlich mehrerer potenzieller Schwachstellen, die durch Speicherprobleme verursacht werden:
- Einzelbyte-Überlauf im SSH-Banner-Verarbeitungscode im Dienstprogramm ssh-keyscan.
- Doppelter Aufruf der Funktion free() im Falle eines Fehlers bei der Berechnung von Hashes für Dateien im Code zum Erstellen und Überprüfen digitaler Signaturen im Dienstprogramm ssh-keygen.
- Doppelter Aufruf der Funktion free() bei der Fehlerbehandlung im Dienstprogramm ssh-keysign.
Wichtigste Änderungen:
- Die RequiredRSASize-Direktive wurde zu ssh und sshd hinzugefügt, sodass Sie die minimal zulässige Größe von RSA-Schlüsseln bestimmen können. In sshd werden kleinere Schlüssel ignoriert und in ssh führen sie zum Abbruch der Verbindung.
- Die portable Edition von OpenSSH wurde so umgestellt, dass sie SSH-Schlüssel zum digitalen Signieren von Commits und Tags in Git verwendet.
- Die SetEnv-Direktiven in den Konfigurationsdateien ssh_config und sshd_config wenden jetzt den Wert ab der ersten Erwähnung der Umgebungsvariablen an, wenn diese mehr als einmal in der Konfiguration definiert ist (zuvor wurde die letzte Erwähnung angewendet).
- Beim Aufrufen des Dienstprogramms ssh-keygen mit dem Flag „-A“ (das alle Arten von Hostschlüsseln generiert, die standardmäßig unterstützt werden) ist die Generierung von DSA-Schlüsseln, die seit mehreren Jahren nicht mehr standardmäßig verwendet werden, deaktiviert.
- SFTP-Server und SFTP implementieren die Erweiterung „[E-Mail geschützt] "und gibt dem Client die Möglichkeit, Benutzer- und Gruppennamen anzufordern, die einem bestimmten Satz digitaler Identifikatoren (UID und GID) entsprechen. In SFTP wird diese Erweiterung verwendet, um Namen anzuzeigen, wenn der Inhalt eines Verzeichnisses angezeigt wird.
- sftp-server implementiert die Erweiterung „home-directory“, um die Pfade ~/ und ~user/ zu erweitern, eine Alternative zur zuvor vorgeschlagenen Erweiterung „[E-Mail geschützt] (Die Erweiterung „Home-Verzeichnis“ wird zur Standardisierung vorgeschlagen und von einigen Clients bereits unterstützt.)
- ssh-keygen und sshd bieten zusätzlich zur Systemzeit die Möglichkeit, bei der Bestimmung der Gültigkeitsintervalle von Zertifikaten und Schlüsseln auch die Zeit in der UTC-Zeitzone anzugeben.
- SFTP ermöglicht die Angabe zusätzlicher Argumente mit der Option „-D“ (z. B. „/usr/libexec/sftp-server -el debug3“).
- ssh-keygen ermöglicht die Verwendung des „-U“-Flags (verwenden Sie ssh-agent) zusammen mit „-Y-Zeichen“-Operationen, um zu bestimmen, dass private Schlüssel vom ssh-agent gehostet werden.
Source: opennet.ru