Post ses monatoj da evoluo, la liberigo de OpenSSH 9.1 estis publikigita, malferma efektivigo de kliento kaj servilo por labori super la SSH 2.0 kaj SFTP-protokoloj. La eldono estas karakterizita kiel enhavas plejparte cimojn, inkluzive de pluraj eblaj vundeblecoj kaŭzitaj de memorproblemoj:
- Unubajta superfluo en la SSH-standarda pretigkodo en la ssh-keyscan ilo.
- Duobla voko al la free() funkcio en kazo de eraro dum kalkulado de hashoj por dosieroj en la kodo por krei kaj kontroli ciferecajn subskribojn en la utileco ssh-keygen.
- Duobla voko al la free() funkcio dum pritraktado de eraroj en la ssh-keysign ilo.
Ĉefaj ŝanĝoj:
- La direktivo RequiredRSASize estis aldonita al ssh kaj sshd, permesante al vi determini la minimuman permeseblan grandecon de RSA-ŝlosiloj. En sshd, pli malgrandaj ŝlosiloj estos ignoritaj, kaj en ssh ili rezultigos la konekton ĉesigita.
- La portebla eldono de OpenSSH estis konvertita por uzi SSH-ŝlosilojn por ciferece subskribi komitaĵojn kaj etikedojn en Git.
- La direktivoj SetEnv en la agordaj dosieroj ssh_config kaj sshd_config nun aplikas la valoron de la unua mencio de la mediovariablo se ĝi estas difinita pli ol unufoje en la agordo (antaŭe la lasta mencio estis aplikata).
- Kiam oni vokas la ilon ssh-keygen kun la flago "-A" (generado de ĉiuj specoj de mastro-ŝlosiloj subtenataj defaŭlte), la generacio de DSA-ŝlosiloj, kiuj ne estis uzataj defaŭlte dum pluraj jaroj, estas malŝaltita.
- sftp-servilo kaj sftp efektivigas la etendon "[retpoŝte protektita]", donante al la kliento la kapablon peti uzant- kaj grupnomojn respondajn al precizigita aro de ciferecaj identigiloj (uid kaj gid). En sftp, ĉi tiu etendo estas uzata por montri nomojn kiam oni montras la enhavon de dosierujo.
- sftp-server efektivigas la "hejm-dosierujon" etendon por vastigi ~/ kaj ~user/ vojojn, alternativon al la antaŭe proponita etendo "[retpoŝte protektita]"(la etendo "hejm-dosierujo" estas proponita por normigo kaj jam estas subtenata de iuj klientoj).
- ssh-keygen kaj sshd aldonas la kapablon specifi tempon en la UTC-horzono dum determinado de atestiloj kaj ŝlosilaj validecintervaloj, krom sistema tempo.
- sftp permesas aldonajn argumentojn esti specifitaj per la opcio "-D" (ekzemple, "/usr/libexec/sftp-server -el debug3").
- ssh-keygen permesas la uzon de la "-U" flago (uzu ssh-agent) kune kun "-Y-signo" operacioj por determini ke privataj ŝlosiloj estas gastigitaj fare de ssh-agent.
fonto: opennet.ru